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Anwaltsakte: 25146 



Verfahren zum Erlernen von Protokollregeln aus beobachteten 

Kommunikationsablauf en 



Pat entansiD ruche 

1. Verfahren zum Erlernen des einer Protokollimplementierung 
zugrundeliegenden endlichen Automat en , 

dadurch gekennzeichnet , 

daS es die Zeitpunkte innerhalb einer Beispielkommuni- 
kation in Aquivalenzklassen zusammenf afit und diese 
Aquivalenzklassen als Zustande des erlernten Automaten 
verwendet . _ . . ■ _ 

2. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

daS es zur Bildung der . Aquivalenzklassen ein Ahnlich- 
keitsmaS zwischen jeweils zwei Zeitpunkten innerhalb der 
Beispielkommunikation berechnet, das von der Lange der 
fur beide Zeitpunkte ubereinstimmenden, die Zeitpunkte 
umgebenden PDU-Sequenz abhangt . 

3 . Verfahren nach Anspruch 1 oder 2 , 
dadurch gekennzeichnet, 

daS es durch eine untere Schranke fur. den Wert eines Ahn- 
lichkeitsmaSes zwischen jeweils zwei Zeitpunkten inner- 
halb der Beispielkommunikation eine Ahnlichkeitsrelation 
so definiert, da£ zwei Zeitpunkte die Ahnlichkeitsrela- 
tion erfullen, wenn das AhnlichkeitsmaS zwischen diesen 
beiden Zeitpunkten groSer oder gleich der unteren 
Schranke ist . 
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Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet , 

dafi es die die Aquivalenzklassen bildende Aquivalenz- 
. relation berechnet, indem es die transitive Hiille einer 
Ahnlichkeitsrelation zwischen den Zeitpunkten innerhalb 
der Beispielkommunikation bildet. 

Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet , 

daS es alle PDUs der Beispielkommunikation als Zustands- 
ubergange des erlernten Automaten eintragt, und zwar je- 
weils als Ubergang von demjenigen Zustand, in dessen 
Aquivalenzklasse der Zeitpunkt unmittelbar vor der be- 
treffenden PDU liegt, zu demjenigen Zustand, in dessen 
Aquivalenzklasse der Zeitpunkt unmittelbar . nach der be- 
treffenden PDU liegt, markiert mit der betreffenden PDU. 

Verfahren nach einem der vorhergehenden Anspriiche/ 
dadurch" gekennzeichnet, 

daS es die Verf ahrensschritte nach mindestens einem der 
Anspriiche 1 bis 5, vorzugsweise nach der Kombination der 
Anspriiche 1 bis 5, mehrfach fur uberlappende Teilbereiche 
der Beispielkommunikation durchfiihren kann, wobei die 
Ahnlichkeitsrelationen jeweils zweier iiberlappender 
Teilbereiche zu einer gemeinsamen Aquivalenzrelation 
vereinigt werden. 

Verfahren, das einen moglichen zugrundeliegenden end- 
lichen Automaten einer Protokollimplementierung anhand 
einer Beispielkommunikation erlernt, wobei der zugrunde- 
liegende endliche Automat aus den Grundzustanden des 
Protokolls besteht und seine Zustandsiibergange mit den 
PDU-Typen des Protokolls markiert sind, 
dadurch gekennzeichnet, daS es 



THIS PAGE BLANK (PSPTO) 



3 



a) alle Zeitpunkte in der Beispielkommunikation zwi- 
schen zwei jeweils auf einanderf olgenden PDUs be- 
trachtet ; 

b) fur jedes Paar solcher Zeitpunkte nach a) ein Ahn- 
lichkeitsmaS berechnet, das die Summe der Anzahl der 
fur beide Zeitpunkte iibereinstimmenden PDU-Typen vor 
dem Zeitpunkt und der Anzahl der fur beide Zeit- 
punkte ubereinstimmenden PDU-Typen nach dem Zeit- 
punkt angibt ; 

c) durch eine untere Schranke fur den Wert des nach b) 
berechneten Ahnlichkeitsmasses eine Ahnlichkeits- 

. relation zwischen jeweils zwei Zeitpunkten defi- 
niert, derart, daS zwei Zeitpunkte die Ahnlichkeits- 
relation erfullen, wenn das AhnlichkeitsmaS zwischen 
diesen beiden Zeitpunkten grofier oder gleich der 
unteren Schranke ist; 

d) die transitive Hulle fur die nach c) definierte 
Ahnlichkeitsrelation bildet, wobei die transitive 
Hulle eine Aquivalenzrelation auf Zeitpunkten nach 
a) darstellt; 

e) jede Aquivalenzklasse der Aquivalenzrelation nach d) 
als einen Zustand des erlernten Automaten verwendet ; 

f ) alle PDUs der Beispielkommunikation als Zustands- 
ubergange des erlernten Automaten eintragt, und zwar 
als Ubergang von demjenigen Zustand, in dessen Aqui- 
valenzklasse gemafi e) der Zeitpunkt unmittelbar vor 
der betreffenden PDU liegt, zu demjenigen Zustand, 
in dessen Aquivalenzklasse gemaS e) der Zeitpunkt 
unmittelbar nach der betreffenden PDU liegt, mar- 
kiert mit dem PDU-Typ der betreffenden PDU, wobei 
Ubergange; die in Ausgangs- und Folgezustand und im 
PDU-Typ ubereinstimmen, nur einmal eingetragen 

we r den; 

g) zum Zwecke der Rechenzeit- und Speicherbedarf sbe- 
grenzung den Ablauf nach a) bis f ) mehrfach fur 
iiberlappende Teilbereiche der Beispielkommunikation 
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durchf lihren kann, wobei die Ahnlichkeitsrelationen 
gemaS c) jeweils zweier uberlappender Teilbereiche 
vereinigt werden und die zustandsbildende Aquiva- 
lenzrelation analog zu d) uber die Vereinigung der 
Ahnlichkeitsrelationen berechnet wird. 

Verfahren zum Erlernen arithmetischer Klassif ikationsre- 
geln fur Merkmalsvektoren aus einer Trainingsmenge mit 
positiven Beispielen, 
dadurch gekennzeichnet, 

daS es anhand statistischer MaSe abgeleitete Merkmale in 
Form arithmetischer Terme bildet und logische Bedingungen 
auf den Zahlenwerten der Merkmale aus der Trainingsmenge 
oder der abgeleiteten Merkmale formuliert.. 

Verfahren nach Anspruch 8, 
dadurch gekennzeichnet, 

daS es eingesetzt wird, urn anhand einer Beispielkommuni- 
kation einer Protokollmaschine Regeln fur die numerischen 
PDU-Feld-Inhalte einer Sequenz von PDUs zu erlernen. 

Verfahren nach Anspruch 8 oder 9, 
dadurch gekennzeichnet, 

dafi es anhand der Korrelations- und Regressionskoef f i- 
zienten auf der Trainingsmenge fur jedes mogliche Merk- 
malspaar abgeleitete Merkmale bildet, wobei der Wert 
eines abgeleiteten Merkmals fur jedes Trainingsbeispiel 
berechnet wird als Summe, Produkt, Quotient oder Dif- 
ferenz zweier schon vorhandener Merkmale oder als Produkt 
aus einem vorhandenen Merkmal und einer Konstanten. 

Verfahren nach einem der Anspruche 8 bis 10, 
dadurch gekennzeichnet, 

daS es zur Bildung der Bedingungen auffallige Haufungen 
der Werte eines in der Trainingsmenge vorhandenen oder 



0, 
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abgeleiteten Merkmals bei einem Zahlenwert oder innerhalb 
eines Zahlenintervalls feststellt.. 

Verfahren nach Anspruch 11 
dadurch gekennzeichnet , 

daS eine auffallige Haufung dadurch definiert ist, daS 
sie den Quotienten maximiert zwischen der Breite der 
kleineren der beiden urimittelbar an das Zahlenintervall 
angrenzenden Liicken, in denen keine Werte des betref- 
fenden Merkmals auftreten, und der Breite der groSten 
Lucke innerhalb des Zahlenintervalls, in der keine Werte 
des betreffenden Merkmals auftreten. 

Verfahren nach einem der Anspriiche 8 bis 12, 
dadurch gekennzeichnet, 

daS es mehrere Unterklassen der Trainingsmenge kon- 
struiert, indem es die logischen Bedingungen in einer 
Disjunktion von Klauseln organisiert, wobei eine Klausel 
eine Konjunktion einer oder mehrerer logischer Bedingun- 
gen darstellt und jeweils eine Unterklasse der Trainings- 
menge beschreibt. 

Verfahren nach Anspruch 13, 
dadurch gekennzeichnet, 

daS es zur Charakterisierung der gesamten Trainingsmenge 
eine Auswahl der konstruierten Klauseln durchfiihrt, so 
daS moglichst alle Elemente der Trainingsmenge durch min- 
destens eine der Klauseln ausgewahlt werden und moglichst 
viele durch genau eine Klausel . 

Verfahren zum Erlernen arithmetischer Klassif ikations- 
regeln fur Merkmalsvektoren aus einer Trainingsmenge mit 
ausschlieSlich positiven Beispielen, eingesetzt, urn 
Regeln fur die numerischen PDU-Feld- Inhalte einer Sequenz 
von PDUs zu erlernen, die einem spezifischen Teilpfad in 
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einem bekannten endlichen Automaten von Protokoll-Grund- 
zustanden und PDU-Typen entspricht, 
dadurch gekennzeichnnet dafi es 

a) jede Komponente eines Merkmalsvektors als Auspragung 
eines Attributs auffaSt, wobei die Anzahl der am An- 
fang vorhandenen Attribute der Dimension der Merk-. 
malsvektoren entspricht; 

b) . anhand der Korrelations- und Regressionskoef fizien- 

ten auf der Trainingsmenge fur jedes mogliche Attri- 
butpaar neue, sogenannte abgeleitete Attribute bil- 
det, wobei der Wert eines abgeleiteten Attributs fur 
jeden Merkmalsvektor aus schon vorhandenen Attribut- 
werten dieses Vektors berechnet werden, und zwar als 
Summe, Produkt, Quotient oder Differenz zweier schon 
vorhandener Attribute oder als Produkt aus einem 
vorhandenen Attribut und einer Konstanten, wobei bei 
der Berechnung aus zwei vorhandenen Attributen die 
in die Berechnung eingehenden Attribute nach maxima - 
ler Korrelation zu einem dritten Attribut und / die 
arithmetische Verkmipfung nach der maximalen Korre- 
lation des abgeleiteten . Attributs zu demselben drit- 
ten Attribut ausgewahlt werden, und wobei bei der 
Multiplikation mit einer Konstanten ein Attribut mit 
einer besonders groSen Korrelation zu einem zweiten 
Attribut mit dem linearen Regressionskoef fizienten 
des Attributpaares derart multipliziert wird, daS 
das resultierende abgeleitete Attribut dem genannten 
zweiten Attribut numerisch moglichst entspricht; 

c) auf fallige .Haufungen der Werte eines urspriinglichen 
oder gemaS b) abgeleiteten Attributs bei einem 
Zahlenwert oder innerhalS ,*eines Zahlenintervalls 
feststellt, wobei eine auf fallige Haufung dadurch 
definiert ist, daS sie den Quotienten maximiert zwi- 
schen der Breite der kleineren der beiden unmittel- 
bar an das Zahlenintervall angrenzenden Liicken, in 
den keine Werte des betreffenden Attributs auftre- 
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ten, und der Breite der groSten Lucke innerhalb .des 
Zahlenintervalls , in der keine Werte des betref fen- 
den Attributs auftreten; ■ 

d) anhand auffalliger Haufungen gemaS c) Klauseln bil- 
det, die jeweils eine logische Bedingung zur Auswahl 
derjenigen Beispiele aus der Trainingsmenge fortnu- 
liereii; deren Attributwerte eines bestimmten Attri- 
buts innerhalb eines nach der Charakteristik der zu- 
gehorigen auffalligen Haufung gemaS c) bestimmten 
Zahlenintervalls liegen, wobei jede Klausel eine 
Konjunktion mehrerer solcher Auswahlbedingungen fur 
verschiedene Attribute darstellen kann; 

e) zur Charakterisierung der gesamten Trainingsmenge 
eine Auswahl der gemaS d) konstruierten Klauseln 
durchfiihrt, so daS moglichst alle Elemente der 
Trainingsmenge durch mindestens eine der Klauseln 
ausgewahlt werden und moglichst viele durch genau 
eine Klausel. 
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Verfahren zum Erlernen von Protokollregeln alls beobachteten 

Koznmunikationsablaufen 



Zusammenf assung : 

Die Analyse protokollbasierter Datenkommunikation durch passive 
Analysatoren beschrankt sich heute meist auf die Priifung der 
Nachrichtenkodierung, eine Validierung der Protokollprozeduren 
ist aktiven Testgeraten vorbehalten. In dieser Arbeit werden 
zwei neue Verfahren entwickelt, um korrektes Protokollverhalten 
allein durch passive Beobachtung, auch in Echtzeit, iiberprufen 
zu konnen. Daserste Verfahren basiert auf einer exakten Spezi- 
fikation des beobachtbaren Sollverhaltens und verwendet unsi- 
cherheitsbehaf tete Zustandsbeschreibungen, um sich auf einen 
laufenden Kommunikationsvorgang auf synchronisieren zu konnen. 
Vollstandigkeit und Korrektheit des Analyseverf ahrens als we- 
sentliche Qualitatskriterien werden nachgewiesen . Es kann die 
manuelle Sucharbeit nach Fehlerquellen um Grofienordnungen re- 
duzieren. Das zweite Verfahren umgeht den Bedarf nach einer Be- 
schreibung des Sollverhaltens, indem es die Regeln eines Proto- 
kolls aus einer fehlerfreien Beispielkommunikation erlernt und 
auf zu analysierende Beobachtungen anwendet . Dieses Verfahren 
basiert auf zwei neuen Lernalgorithmen, einem zum effizienten 
Lernen optimaler endlicher Automaten und einem zur Ableitung 
arithmetischer Klassif ikationsregeln, jeweils aus einer Stich- 
probe rein positiver Beispiele. Es kann zu minimalen Kosten auf 
neue Protokolle angewandt werden. Beide Verfahren sind als Pro- 
totypen implementiert und werden abschlieSend vergleichend be- 
wertet . 
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Kapitell 

Einleitung und Uberblick 



Im Laufe der Weiterentwicklung der elektronischen Datenverarbeitung und Telekommunika- 
tion hat der automatisierte Austausch von digitalen Informationen zwischen verschiedenen, 
gegeneinander abgegrenzten Einheiten standig an Bedeutung gewonnen. Dieser ProzeB ver- 
lief und verlauft mit Sicherheit nicht linear in der Zeit, sondern weist eine immer starkere 
Beschleunigung auf: Der Beginn des Computer-Zeitalters war gekennzeichnet von wenigen 
einzelnen Rechnersystemen, die vom jeweiligen Kunden meist fur eine sehr spezielle Aufga- 
be eingesetzt wurden. Ein Austausch von Daten erfolgte typischerweise nur innerhalb einer 
solchen Rechenanlage, sofern Peripherieeinheiten wie Drucker, Lochkartengerate und spater 
Massenspeicher dazugerechnet werden. Bereits mit der Einfuhrung von Mehrbenutzersyste- 
men mit Terminals verkomplizierte sich der Datenaustausch, mit der Vernetzung einiger Grofi- 
rechner setzte sich diese Entwicklung fort. Erst seit Anfang der achtziger Jahre zeichnen sich 
drei Entwicklungen ab, die den digitalen Iriformationsaustausch nach Menge und Komplexitat 
zu potenzieren begannen: 

1. Der personliche Computer am Arbeitsplatz und spater zu Hause. Damit vervielfacht 
sich die Anzahl potentieller Kommunikationsendpunkte. 

2. Die Idee des offenen Systems, das in der Lage ist, mit anderen Systemen zu kommuni- 
zieren, deren Identitat nicht a priori bekannt ist. 

3. Die Digitalisierung des Fernsprechnetzes und weiterer, fruher analog arbeitender Kom- 
munikationsdienste, die nun auch jedes Telefon und jedes Rundfunkgerat zu potentiel- 
len Teilnehmern weltweiter digitaler Kommunikation machen. 

Mit der Vervielfachung der Anwendungsgebiete der digitalen Kommunikation einher geht die 
Einfuhrung immer hoherer Ubertragungsraten in den Kommunikationstrecken. Aus 75 bit/s 
der ersten Fernschreiber sind Mega-, Giga- und bald auch Terabit geworden. 

Voraussetzung fur das einwandfreie Funktionieren digitaler Kommunikation ist, daB sich alle 
beteiligten Kommunikationspartner gemaJJ gemeinsamer Regeln verhalten. Solche Regelwer- 
ke fur Kommunikationsverhalten werden Protokolle genannt. 

Aufgrund der Offenheit, Diversitat, Komplexitat und Bandbreite moderner Kommunikations- 
systeme kommt der Entwicklung, Normung und Beschreibung von Protokollen eine standig 
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groBere Bedeutung zu. Im selben MaBe vermehren sich die Fehlerquellen, die zu mehr oder 
wemger groBen Storungen in Kommunikationssystemen fuhren. Zu typischen Fehlerquellen 
. die sich in modernen Breitbandkommunikationssystemen immer wieder zeigen, gehoren: ' 

• Fehlfunktionen aufgrund des Einsatzes von Protokollen oder Protokollvarianten die im 
gegebenen Kontext einer Systeminstallation nicht benutzt. werden durften. ' ' 

• Fehlfunktionen aufgrund von konfigurierbaren Protokoll-Parametern, die fur den gege- 
benen Kontext emer Systeminstallation inkompatibel eingestellt wurden. 

. Fehlfunktionen aufgrund von Uberlastsituationen, in denen einzelne Komponenten des 
K.ommunikationssystems gezwungen sind, Daten zu verwerfen. 

Die Erfehmng zeigt, daB alle Bemiihungen, die einwandfreie Funktion kommunikationsrele- 
vanter Hard- und Software vor der Markteinfuhrung durch geeignete Entwicklungsverfahren 
2 £SZ Tes f ^/^fi^^llen, nicht in jedem Fall Erfolg haben. Daraus entsteht 
der Bedarf nach Hilfsmitteln zur Fehlersuche, die im laufenden Betrieb eines Kommunikati- 
onssystems eingesetzt werden und Fehlfunktionen erkennen, einer Systemkomponente zuord- 
nen und Anhaltspunkte zu ihrer Beseitigung liefern kdnnen. 

Verfxigbare Werzeuge fur Messungen im laufenden Betrieb, meist als Protokoll- oder Netz- 
werkmonitore bezeichnet, haben gemeinsam, daB sie nicht das vollstandige Kommunikations- 
verhalten gegen das Sollverhalten validieren konnen, sondem ein erhebliches MaB an manu- 

™^ t Q l^°i Hi6r b6Steht 3lSO 6in erhebIiches p o^ial, eine sehr unangenehme 
manuelle Suchtatigkeit zu automatisieren. 

Im Zuge einer automatisierten Verhaltensanalyse ergeben sich zwei Teilprobleme: 

1. Wie muB ein Verfehren aussehen, das in der Lage ist, alle Aspekte eines Kommunika- 

k kT^ ? e t l " m5 * lichst in Echtzeit - ™ uberprufen, indem der fiber eine 
m Betneb befindliche Kommunikationsverbindung laufende Verkehr passiv beobachtet 

2. Wiekann das Sollverhalten - das ja als Grundlage der Uberpriifung dient - moglichst 
schnell und kostengunstig dem Analysegerat zur Verfugung gestellt werden? Ist dies 
auch moghch, wenn das zugrundeliegende Protokoll nicht in Form einer formalen ma- 
schinentauglichen Spezifikation vorliegt? 

fa dieser Arbeit wird fur jedes der beiden Teilprobleme eine neue Losung entwickelt. Wahrend 
dieLosung zu Teil 1 auf einer vorgegebenen Spezifikation des Sollverhaltens aufbaut, soli fur 
Teil 2 der Versuch unternommen werden, das Sollverhalten anhand von beispielhaften Kom- 

Z^T^aT ? Z 1 ^- DaZU muB voraus S es ** werden, daB die Beispielablaufe 
fehlerfrei sind denn die Kenntms von Fehlern im Beispielverhalten oder die gezielte Erzeu- 

S/^h r PielCn ^ bereitS d ^ S Wi8Sen ^ die Re 8 eIn korrektes Verhalten 
voraus - der Lernansatz ware damit ad absurdum gefuhrt. 

riven ^ TeiI P roblems folgende Vorteile gegeniiber iiblichen ak- 

tirttprozeduren, in denen ein Testgerat die-Rolle eines Kommunikationspartners uber- 
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• Ein passives PriifVerfahren kann unter genau den Bedingungen eingesetzt werden, lin- 
ter denen auch der Betrieb des Kommunikationssystems stattfindet. Daher ist es re- 
lativ wahrscheinlich, daB gelegentliche Betriebsstorungen bei der Fehlersuche nicht 
verborgen bleiben. Wenn ein Problem beispielsweise nur auftritt, wenn ein seltener 
Zahleriiberlauf stattfindet, wird ihn eine herkommliche Testprozednr wahrscheinlich 
nicht aufdecken. 

• Es kommt vor, daB die Kommunikation zwischen Komponenten verschiedener Herstel- 
ler gestort ist, obwohl beide Hersteller eine Zertifizierung ihrer Gerate vorweisen und 
zwischen Geraten desselben Herstellers keine Probleme auftreten. Dann ist eine Mes- 
sung in genau der fehlertrachtigen Konfiguration erforderlich, urn die verursachende 
Komponente zu ermitteln. 

• In modernen Protokollen konnen gewisse, vom Standard offengelassene Parameter ge- 
legentlich vom Benutzer oder Service-Personal nachtraglich festgelegt werden. Proble- 
me der Zusammenarbeit zweier Komponenten konnen dann auch auf unvertragliche 
Konfigurationseinstellungen zuruckzufuhren sein. Auch diese Fehlerquelle bleibt beim 
aktiven Testen verborgen. 

• Wenn ein installiertes Kommunikationssystem zwar gelegentliche Storungen aufweist 9j 
seinen Betriebszweck aber noch im groBen und ganzen erfullen kann, ist es vorteilhaft- 
die Fehlersuche ohne EinfluB auf den Betrieb durchfuhren zu konnen. Ein aktiver Test 
einzelner Komponenten erfordert dagegen normalerweise eine Betriebsunterbrechung v 

Die Lpsung des zweiten Teilproblems erhalt ihre praxisbezogene Rechtfertigung durch fol- 
geride Einsatzszenarien: 

• Es wird spater deutlich werden, daB die Entwicklung eines Priifalgorithmus fur ein kon- 
kretes Kommunikationsprotokoll selbst bei Vorliegen einer maschinenverstandlichen ■ 
Protokollspezifikation im allgemeinen nicht vollig automatisch erfolgen kann, sondern 
ein gewisses MaB an menschlicher Entwurfsarbeit erfordert. Wenn dazu nicht geniigend 
Ressourcen zur Verfugung stehen, ist die Verwendung eines maschinellen Lernverfah- 
rens ein denkbarer Ausweg. Immerhin gibt es heute eine sehr groBe Zahl von Protokol- 
len und Protokollvarianten, so daB sich nicht fur jede einzelne davon ein signifikanter 
Entwicklungsaufwand fur eine Prufinaschine lohnt. . 

• In der immer schnelleren Weiterentwicklung von Kommunikationssystemen und 
-standards beobachtet man haufig ein Nebeneinander von international standardisier- 
ten Protokollen und proprietaren Entwicklungen, welche einen vorhandenen Bedarf 
moglichst schnell — das heiBt vor der Konkurrenz und erst recht vor AbschluB eines 
meist langwierigen Standardisierungsprozesses r- erfullen sollen. Fur derartige pro- 
prietare Protokollvarianten sind formale Spezifikationen moglicherweise nicht oder nur 
zu einem hohen Preis an den Hersteller zu beschafFen. Ein Referenzgerat kann dann 
leichter und kostengiinstiger verwendet werden. 




Diese Arbeit wurde finanziert von der Siemens AG im Rahmen des Fachgremiums MeB- 
und Automatisierungstechnik innerhalb der Forschungskooperation zwischen Siemens und 
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der Technischen Universitat Berlin. Projektpartner war die Abteilung AUT E33 D in Berlin 
inzwischen abgelost durch die Tektronix Berlin GmbH. 

Diese Arbeit gliedert sich wie folgt: In Kapitel 2 wird der Stand der Technik in den Bereichen 
Protokoll-Engineenng und Protokollmefitechnik dargestellt sowie ein Uberblick uber bekann- 
te maschmelle Lernverfahren gegeben. Auf dieser Grundlage erfolgt eine ausfuhrliche, aber 
noch mformelle Definition der oben beschriebenen beiden Teilaufgaben. In Kapitel 3 wird die 
ZhlJ^ > f ™ fo ™ alis u iert ' ^y™* und die zugehorige Losung erarbeitet. Das Kapitel 
tin v ^ iede ^ e von Erfahrungen aus der praktischen Anwendung des entwickel- 

T2l f v^H 4 ^ ^ Teilauf 8 abe ™ mhalt, von der FoLlisierung der 

Aufgabe uber die Entwicklung zwefefTOr Lernalgorithmen ftir unterschiedlicl^ flfco- 
bleme und der Beschreibung des Gesamtverfahrens bis zu Ergebnissen der experimentellen 
Anwendung. In Kapitel 5 erfolgen eine vergleichende Bewertung beider Verfahren und der 

EnZ T^T kritiSCh6n Einstufiin g der Tauglichkeit fur den praktischen 

Einsaz und erne Analyse, welche Ansatzpunkte fiir Weiterentwicklungen die automatisierte 
Verhaltensanalyse bietet, um Nachteile der entwickelten Verfahren zu uberwinden. Kapitel 6 
faBt die Ergebnisse der Arbeit zusammen. 



Kapitel 2 

Hintergrund und Aufgabe 



In diesem Kapitel soil die wissenschaftlich-technische Grundlage dargestellt werden, auf der 
die neuen Ansatze dieser Arbeit aufbauen. Dies schlieBt sowohl den Stand der Technik im Be- 
reich der Behandlung von Kommunikationsprotokollen ein als auch die bekannten Arten ma- 
schineller Lemverfahren und ihre prinzipielle Eignung fur das Erlernen von Protokollregeln. 
Am Ende des Kapitels erfolgt, in Abgrenzung von der bekannten Technik, eine informelle 
Definition der im Rahmen der Arbeit bearbeiteten Aufgaben. 

2.1 Stand der Technik 

In dieser Arbeit geht es urn die automatisierte, d. h. maschinelle Analyse von Kommunikati- 
onsprozessen. Wesentliche Grundlage hierzu sind die Modellierung und formale, also maschi- 
nell verarbeitbare Beschreibung von Kommunikationsprotokollen. Relevante Teilbereiche, die 
jeweils in Unterabschnitten behandelt werden, sind das international standardisierte Referenz- 
modell fur digitale Kornmunikation, der Einsatz formaler Methoden in den verschiedenen 
Phasen des Protokoll-Engineering und am Markt existierende Werkzeuge und Verfahren der 
ProtokollmeBtechnik. Ein weiterer Unterabschnitt beschreibt die bekannten Ansatze zum ma- 
schinellen Lernen, die Beruhrungspunkte zur zweiten Teilaufgabe aufweisen, dem Erlemen 
von Protokollregeln. 

2.1.1 OSI-Referenzmodell 

Die zum Ansatz der offenen Kommunikation zwingend erforderliche internationale Standardi- 
sierung von Kommunikationsprozessen lauft ab unter dem Dach zahlreicher Organisationen, 
von denen folgende zwei die groBte Bedeutung haben: 

• Die ITU (International Telecommunication Union), fruher CCITT {Comite Consultatif 
International Telegraphiqe et Telephonique) ist der internationale Dachverband der na- 
tionalen Netzbetreiber-Gesellschaften. Ihre Telekommunikations-Sektion (ITU-T) be- 
schlieBt Empfehlungen, die zwar nicht rechtlich verbindlich sind, aber de facto Stan- 
dardcharakter haben. 
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• Die ISO (International Organization for Standardization), der Dachverband der natio- 
na en Normungsinstitute, verabschiedet Internationale Standards. Auf derii Gebiet der 
Telekommumkation erfolgt eine enge Zusammenarbeit mit der ITU. 

Gemeinsame Grundlage - und Ursprung der allgemeinen Terminologie - ist das 1984 verab- 
schiedete Referenzmodell fur offene Kommunikationssysteme (open systems interconnection 
- basic reference model [ISOS4], typischerweise OSI-Modell genannt. Es teilt die Funktiona- 
htat einer digitalen Kommunikationsverbindung in sieben logische Schichten auf. Zentraler 
Gedanke dabe, ist, dafi jede Schicht einen nutzbaren Dienst erbringt und der nachsthoheren 
Schicht zur Verfugung stellt, indem sie den Dienst der nachsttieferen Schicht verwendet und 
unter Verwendung eigener Protokollmechanismen erweitert. 

Die Standardisierung konkreter Kommunikationsprotokolle erfolgt im grofien und ganzen 
scmchtweise so daB sich in der Implementierung ein Protokollstapel ergibt. Im Sinne des 
klassischen Abstraktionsgedankens im Software-Engineering sollte jede Protokollschicht von 
den konkreten Mechanismen abstrahieren, die tiefere Schichten zur Dienstrealisierung nutzen 
d.h. von den konkret verwendeten tieferen Protokollen. Aufgrund besonderer Anforderungen 
in praktischen Kommunikationsumgebungengelingt das jedoch nur teilweise, so da/5 zuweilen 
verfeinerte bzw modifizierte Referenzmodelle zur Anwendung kommen, zum Beispiel in der 
modernen Breitbandkommunikation auf Basis der ATM-Vermittlungstechnik (asynchronous 
transfer mode, asynchroner Ubertragungsmodus) [Sie94]. 



2.1.2 Formale Methoden 

Im Zuge der Entwicklung offener Kommunikationssysteme entstand der Bedarf nach eindeu- 
tigen und vollstandigen Beschreibungen fur Kommunikationsprotokolle, d. h. nach formalen 
Protokollspezifikationen. Im Rahmen eines regelrechten Entwicklungsprogramms wurden da- 
her zwischen 1981 und 1987 drei Spezifikationssprachen entwickelt und schlieBlich standar- 
msiert LHog89]: SDL (specification and description language) [CCI87], LOTOS (language 
Tc ° r u ° rderinS s P eci fi cation of observational behaviour) [ISOSTb] und Estelle 
a . u u T 611 aUf ^ verschiede nen theoretischen Ansatzen, namlich den Pro- \ 
zefialgebren bzw den erweiterten endlichen Automates Diese grundlegenden Kalkiile und * 
skizSert aUfbaU6nden S P ez ifikationssprachen werden in den folgenden Abschnitten kurz 

ProzeBalgebren 

Dieses Kalkiil zur Beschreibung nebenlaufiger Prozesse geht zuriick auf die Arbeiten [MilSOl 
und [Hoa85]. In den ProzeBalgebren wird ein Verhalten durch einen Term beschrieben des- 
sen operationale Semantik durch ein marlciertes Transitionssystem (labelled transition system 
L,lib) wiedergegeben wird. Mathematisch ist ein LTS ein Tripel (S, A, A) aus: 

• S, einer Menge von Zustdnden, 

• A, einer Menge von Aktionen (actions), 
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• 4c5x.4U {t} x S, einer Menge von Transitionen. 

Somit entspricht ein LTS strukturell einem endlichen Automaten. Jedes LTS kann eine Menge 
von Spuren {traces) zeigen, die aus einer iiber die Transitionsrelation -A gebildeten Sequenz 
von Aktionen bestehen. r ist eine ausgezeichnete Aktion, die interne Aktion, die von der 
Umgebung des Prozesses aus nicht beobachtbar ist. 

Charakteristisch am ProzeBalgebra-Ansatz ist, daB das LTS durch einen Term definiert wird. 
In diesem konnen folgende Operatoren auftreten, die jedoch teilweise redundant sind, so daB 
in konkreten ProzeBalgebren eine Auswahl dieser Operatoren vorkommt: 

• atomare Aktion aus Au {r} 

• sequentielle Verkettung einer Aktion mit einem bereits definierten Verhalten 

• Parallelisierung zweier Verhalten 

• nichtdeterministische Auswahl zwischen zwei Verhalten 

• Verbergen einer oder mehrerer Aktionen in einem Verhalten 

• Umbenennen von Aktionen in einem Verhalten 7 

• Verhaltensrekursion 

• Termination 

• Blockierung (deadlock) 

Bei der Parallelisierung von Verhalten ist entscheidend, daB die Einzelverhalten iiber gleich- 
namige Aktionen synchronisiert werden, wovon r ausgenommen ist. 

Die so definierten LTSs werden iiblicherweise in Form von Baumen dargestellt, deren Kanten 
mit den Aktionen bezeichnet sind und deren Knoten sich mit Zustanden identifizieren lassen. 
Beispielsweise liefert in CCS (calculus. of communicating systems, Kalkiil fur kommunizie- 
rende Systeme) [Mil80] der Term 

coin\teeJ)utton.tee + coffeeJbutton.coffee) 

das in Figur A. 1 dargestellte Modell eines Getrankeautomaten, ein beliebtes Beispiel in der 
Literatur iiber ProzeBalgebren. 

Die Semantik der Verhaltensterme kann formal auf zwei Arten definiert werden: einerseits 
durch Ableitungsregeln, und andererseits, wie der Begriff YrozeRalgebra nahelegt, durch ein 
Axiomensystem, mit dem sich Aquivalenzaussagen iiber Terme ableiten lassen. Da es mehr 
als 100 Aquivalenzbegriffe fur ProzeBbeschreibungen gibt, ist diese Axiomatisierung alles 
andere als eindeutig. Ein Beispiel fur eine Ableitungsregel ist die folgende Definition des 
Auswahloperators aus CCS: 

Ei A E 
E\ + £*2 E 
E2 + E\ E 



8 



KAPITEL 2. HINTERGRUND UND AUFGABE 



Dies bedeutet: Wenn Verhalten E x mit der Aktion p in Verhalten E iibergeht, dann konnen 
sowohl Verhalten E x + E 2 als auch Verhalten E 2 + E v ebenfalls die Aktion // ausfuhren und 
sich anschlieBend gemafi E verhalten. 



Erweiterte endliche Automaten 

Endliche Automaten (finite state machines, FSMs, fur den Protokollsektor beispielsweise de- 
finiert in [vBP94]), sind der grundlegendste Ansatz zur Spezifikation von Systemverhalten 
und Kommunikationsprotokollen. Als operationaler Ansatz weisen endliche Automaten eine 
grofie Nahe zu moglichen Implementierungen auf. 

Eine FSM A ist ein Sextupel A = (S, X, Y, 6, S 0 , E) aus ([vBP94]): 

• S, einer endlichen Menge von Zustanden, 

• X, dem endlichen Eingabealphabet, 

• Y, dem endlichen Ausgabealphabet, 

• 5 C S x X xY x 5, der Transitionsrelation, 

• So E S., dem Startzustand, 

• E C S, der Menge der Endzustdnde. 

Die Transitionsrelation 5 gibt an, welche Eingaben in einem Zustand welche Ausgaben her- 
vorrufen konnen und m welchen Folgezustand der Automat anschlieBend wechselt. 

In realen Protokollen werden haufig Sequenznummern und Bezeichner verwendet, die nicht 
ubersichthch mit endlichen Automaten zu beschreiben sind. Daher wird das Modell des endli- \ 
chen Automaten urn einen Datenteil aus Zustandsvariablen erweitert, womit man zum Modell 
des erweiterten endlichen Automaten (extended finite state machine, EFSM) kommt Wahrend 
der zugrundehegende endliche Automat den Kontrollflufiaspekt des Protokolls beschreibt ist 
der Datenflufiaspekt mit Hilfe der erweiternden Zustandsvariablen spezifiziert. 

Mathematisch dient die aktuelle Wertbelegung der Zustandsvariablen dazu, die Menge der 
jeweils zulassigen Transitionen einzuschranken. Die Eingaben und Ausgaben werdeh eben- 
falls urn Datenfelder erweitert. Die Transitionen konnen Veranderungen der Variablenbele- 
gung verursachen, in Abhangigkeit von den Datenfeldinhalten der zugeordneten Ein- oder 
™S t'^ Llteratur « ibt es keine vollig einheitliche und originale formale Definition der 
tFSM Man beachte aber, daB der einzige formale Unterschied zwischen FSMs und EFSMs in 
der Endhchkeit der Zustandsmenge liegt: Jede EFSM mit endlichen Wertebereichen aller Zu- 
standsvariablen kann auch als aquivalente FSM modelliert werden. Nur bei Zustandsvariablen 
nut unendhchem Wertebereich ergibt sich tatsachlich eine grofiere Modellierungsmachtigkeit 
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LOTOS 

LOTOS ist die 1987 von der ISO standardisierte Spezifikationssprache auf ProzeBalgebra- 
Basis. Das sogenannte Basic-LOTOS verwendet die in Abschnitt 2.1.2 aufgefuhrten Operato- 
ren bis auf die Umbenennung, dafur kommen noch Parallelisierungsoperatoren dazu, die gar 
nicht bzw. nur auf einer gewissen Aktionsmenge synchronisieren. 

Um den DatenfluBaspekt realer System- und Protokollspezifikationen abzudecken, enthalt das 
vollstandige LOTOS auBerdem ein Datenmodell mit Wertubergabe und Mustervergleich (pat- 
tern matching). Abstrakte Datentypen konnen mit Hilfe der algebraischen Spezifikationsspra- 
che ACT ONE definiert werden. 



SDL 

SDL ist die standardisierte Spezifikationsprache der ITU. Sie basiert auf dem Konzept der 
erweiterten endlichen Automaten. Datentypen konnen — wie bei LOTOS — in ACT ONE spe- 
zifiziert werden. Um verteilte Systeme beschreiben zu konnen, kann sich eine Systemspe- 
zifikation aus mehreren, iiber Kommunikationskanale miteinander verbundenen erweiterten 
endlichen Automaten zusammensetzen, die in SDL Prozesse genannt werden. Die iiber die 
Kanale ausgetauschten Signale werden in Warteschlangen aufbewahrt, es handelt sich also 
um asynchrone Kommunikation. 

Als Besonderheit verfugt SDL iiber zwei verschiedene Notationen, eine textuelle (SDL/PR, 
printed representation) und eine aquivalente grafische (SDL/GR, graphical representation). 
Damit kann fur den jeweiligen Einsatzzweck — z.B. ihteraktive Eingabe gegemiber maschi- 
neller Verarbeitung — die jeweils geeignetere Darstellung Verwendung finden. Figur A.2 zeigt 
ein Beispiel fur eine einzelne Transition in der grafischen Notation SDL/GR: Nach Empfang 
des Signals ConReq im Zustand Idle wird die Zustandsvariable c inkrementiert, das Signal 
ConAck gesendet, und der ProzeB wechselt in den Zustand Connecting. 

In SDL gibt es auch Moglichkeiten zur Behandlung von Zeit. Es lassen sich Zeitgeber definie- 
ren, die besondere Signale in der Warteschlange des Prozesses ablegen, sobald sie ablaufen. 
Nach dem auch als SDL-87 bezeichneten Standard [CCI87] wurde 1992 eine Erweiterung von 
SDL um objektorientierte Konzepte standardisiert [F094]. 



Estelle 

Estelle ist die automatenbasierte Spezifikationssprache der ISO. Konzeptionell unterscheidet 
sich Estelle nicht wesentlich von SDL. Es konnen ebenfalls mehrere kommunizierende Auto- 
maten definiert werden, die hier Module heiBen. 

Estelle ist syntaktisch stark an Pascal angelehnt und ubemimmt dessen Datenmodell. Datenty- 
pen werden also nicht, wie in-SDL, iiber algebraische Spezifikationen, sondem fiber ausfuhr- 
bare Implementierungen definiert. Eine graphische Representation wie fiir SDL ist fur Estelle 
nicht standardisiert. 
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Nachrichtensyntax 

Zur vollstandigen Beschreibung eines Kornmunikationsprotokolls gehort neben der Spezifika- 
tion des Verhaltens auch die exakte Beschreibung der einzelnen Nachrichten, die im Rahmen 
des Protokolls zwischen den Kommunikationspartnern ausgetauscht werden. Diese Nachrich- 
ten werden als Protokolldateneinheiten (protocol data units, PDUs) bezeichnet. 

Aus Sicht des Protokollentwurfs enthalten die PDUs Daten bestimmter Datentypen. So kom- 
men haufig ganze Zahlen z. B. fur Sequenznummem vor, Aufzahlungstypen fur die Unter- 
scheidung verschiedener Arten von Nachrichten oder Zeichenketten fur Adressierungsinfor- 
mationen. Zusammen ergibt sich so eine Art Signatur des Protokolls, die als abstrakte Proto- 
kollsyntax bezeichnet wird. 

Bei der Ubertragung der PDUs wird eine Kodierung in eine Bitfolge benotigt, um die PDUs 
an die nachstniedrigere Protokollschicht ubergeben zu konnen, Diese Kodierung heiBt kon- 
krete Transfersyntax der Protokollnachrichten und muB die korrekte Wiederherstellung der 
abstrakten Nachrichtenstruktur beim Empfanger gewahrleisten. 

Bei zahlreichen Protokollstandards werden die abstrakte PDU-Syntax und die konkrete Trans- 
fersyntax nicht streng getrennt, sondern - beispielsweise durch schematische Darstellung der 
Nachrichten auf Bitebene - gleichzeitig definiert, Beispiele dafur sind [CCI88, IT94a, IT94b]. 
Die ITU hat aber auch eine Beschreibungssprache, die abstract syntax notation one (abstrakte 
Syntaxnotation eins, ASN.l) standardisiert. ASN.l definiert sowohl Datentypen fur die ab- 
strakte Syntax als auch eine konkrete Transfersyntax zur Ubertragung dieser Datentypen als 
Bitstrom. 



2.1.3 Protokoll-Engineering 

Die in Abschnitt 2.1.2 aufgefuhrten Methoden und Sprachen finden Einsatz in verschiede- 
nen Phasen der Protokollentwicklung. Dieser Abschnitt stellt die iiblichen Teilaufgaben des 
Protokoll-Engineering vor und beschreibt die Fahigkeiten existierender Ansatze und Werk- 
zeuge, die in den einzelnen Bereichen verwendet werden. 



Spezifikation 

Der primare Einsatzzweck formaler Sprachen im Protokollbereich ist die eindeutige Beschrei- 
bung, also Spezifikation eines Protokolls. Dabei muB unterschieden werden zwischen der Spe- 
zifikation des Dienstes, den das Protokoll aus Sicht des Benutzers erbringt, und der Spezifika- 
tion des Protokolls selbst, mit dessen Hilfe dieser Dienst erbracht werden soil [Hog89]. Der 
Dienst wird mit Hilfe der Dienstprimitiven beschrieben, die an den Endpunkten der Kom- 
munikationsstrecke (Dienstzugangspunkte, engl. service access points, SAPs) zur Verfugung 
stehen. Das Protokoll dagegen beinhaltet die Umsetzung der Dienstprimitiven in PDUs an 
einem einzelnen Kommunikationsendpunkt, einer Protokoll-Zn^^nz. 

Erst der Einsatz formaler Spezifikationssprachen erlaubt eine widerspruchsfreie und eindeu- 
tige Beschreibung von Diensten und Protokollen. Aus diesem Grand ist auch die ITU da- 
zu iibergegangen, in ihren Empfehlungen der formalen Protokollspezifikation Vorrang vor 
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der fruher ausschlaggebenden natiirlichsprachlichen Beschreibung einzuraumen. Wahrend 
z. B. das Breitband-ISDN-Signalisierungsprotokoll Q.2931 in [IT94b] noch mit einer nur als 
Erganzung deklarierten SDL-Spezifikation beschrieben ist, gilt im Standard des zugehorigen 
Schicht-2-Protokolls SSCOP {semice specific connection-oriented procedure, dienstspezifi- 
sche verbindungsorientierte Prozedur) in [IT94a] die SDL-Spezifikation bereits als ausschlag- 
gebend, wo keine Eindeutigkeit herrscht. 

Validierung 

Die Validierung bestimmter Eigenschaften eines Protokolls ist eines der altesten Motive fur 
den Einsatz formaler Spezifikationen. v. Bochmann nennt in [Boc78] folgende wiinschens- 
werte Eigenschaften einer Protokollspeziflkation im Automatenkalkiil: 

Erreichbarkeit Alle Zustande des Automaten konnen iiber Folgen von Zustandsiibergangen 
tatsachlich erreicht werden. 

Verklemmungsfreiheit Das Gesamtsystem kann in keinen Zustand gelangen, aus dem kein 
weiterer Zustandsiibergang moglich ist. 

Lebendigkeit Ein Zustand oder Zustandsiibergang ist lebendig, wenn er von jedem erreich- 
baren Systemzustand aus erreicht werden kann. 

Konformitatstest 

Konformitatstest {conformance test) nennt man die Priifung, ob eine Protokollimplementie- 
rung sich gemaB der Protokollspeziflkation verhalt. Das Verfahren hierzu ist der aktive Pro- 
tokolltest. Hier ubernimmt ein dediziertes Testgerat die Aufgabe des oder der Kommunikati- 
onspartner der zu testenden Implementierung {implementation under test, IUT). 

Der Konformitatstest hat eine besondere praktische Bedeutung als Abnahmetest fur Imple- 
mentierungen, die innerhalb oder in Verbindung mit offentlichen Kommunikationsnetzen be- 
trieben werden sollen und daher einer Zertifizierungspflicht unterliegen. Aus diesem Grand 
hat die ISO eine Methodologie und Nomenklatur fur den Konformitatstest definiert und als 
Internationalen Standard IS 9646 [IS091] verabschiedet. Innerhalb dieses Standards wird 
auch die Testbeschreibungssprache TTCN {tree and tabular combined notation, kombinier- 
te Baum- und Tabellennotation) definiert. In [TKB91] erfolgt eine formalisierte Darstellung 
von Konzepten und BegrifFen aus dem IS 9646, im wesentlichen aufbauerid auf dem Konzept 
von markierten Transitionssystemen (LTS). 

Eine Testsuite fur einen Konformitatstest verfolgt mehrere Testzwecke {test purposes) und 
wird in Testgruppen {test groups) eingeteilt, die aus einzelnen Test/alien {test cases) bestehen. 
Ein Testfall, wie er sich in TTCN beschreiberi laBt, besteht aus ein oder mehreren Eingaben 
vom Tester an die IUT und baumformigen Verzweigungen in Abhangigkeit von der oder den 
Antworten der IUT. An den Blattern dieses Baumes stehen Testurteile {verdicts), und zwar 
[BG92]: 

• passiert (pass) fur korrektes Verhalten, 



12 



KAPITEL 2. HINTERGRUND UND AUFGABE 



• fehlgeschlagen (fail) fur nicht korrektes Verhalten und 

• unklar {inconclusive) fur ein Verhalten, das sich weder eindeutig als korrekt noch als 
inkorrekt einstufen laBt. 

Je nach den Zugangsmoglichkeiten zur IUT kommen mehrere Testmethoden in Frage. Fi- 
gur A.3 zeigt ein Beispiel fur eine Testkonfiguration, in der der Tester entfernt iiber das Kom- 
munikationsmedium mit der IUT verbunden ist und tiber eine zusatzliche, nur dem Test die- 
nende Kommunikationsverbindung einen oberen Tester {upper tester, UT) steuert, der fur die 
tiber den Dienstzugangspunkt der IUT ausgetauschten Dienstprimitiven zustandig ist. 

Das in der Protokolltheorie am ausgiebigsten in der Literatur behandelte Thema ist die au- 
tomatische Erzeugung von Testfallen und -suiten aus formalen Protokollspezifikationen. Bei- 
spiele fiir Arbeiten zu diesem Thema sind [Bri88, LL91, A+88]. Bochmann und Petrenko 
geben in [vBP94] einen umfassenden Uberblick iiber das Problem des Protokolltests und sei- 
ne Wechselwirkungen mit der unterliegenden formalen Protokollspezifikation. Je nach Art der 
Spezifikation lassen sich verschiedene Kriterien zum Grad der Testabdeckung bzw. Fehlerer- 
fassung {test coverage bzw. fault coverage) durch eine — vorzugsweise automatisch erzeug- 
te — Testsuite definieren. Das Ziel der vollstdndigen Fehlererfassung bezieht sich dabei auf 
ein Fehlermodell (fault model), in dem alle fehlerhaften Implementierungen zusammengefaBt 
sind, deren Erkennung durch eine Testsuite angestrebt wird. Ubliche Annahmen zur Bildung 
von Fehlermodellen sind eine obere Schranke fur die Zustandsanzahl im FSM-Modell der 
Implementierung oder eine Beschrankung auf Ausgabefehler bei ansonsten korrekt imple- 
mentierter FSM [vBP94]. 

Im Automatenmodell stoBt das Ziel einer vollstandigen Fehlererfassung auf Schwierigkeiten, 
sobald die Spezifikation Nichtdeterminismus enthalt: Wann immer die Implementierung ei- 
ne nicht von auBen beeinfluBbare Entscheidung treffen kann, welche nachste Ausgabe von 
einem Zustand aus erfolgt, lassen sich in trivialer Weise Automaten mit Zustanden konstru- 
ieren, deren Erreichen ofFensichtlich von keiner endlichen Testsuite erzwungen werden kann. 
Folgezustande und -transitionen eines solchen nichtdeterminismusbehafteten Zustands lassen 
sich also durch Testen niemals sicher uberpriifen. Dies ist die auf den Protokolltest bezoge- 
ne Begriindung der wohlbekannten Tatsache, daB durch Testen niemals die Abwesenheit von 
Fehlern bewiesen werden kann, nur manchmal ihre Anwesenheit, Im Kontext der ProzeBalge- 
bra und der LTSs lassen sich bessere formale Resultate beweisen (z. B. [FvB91])> weil dieses 
Paradigma von synchroner Kommunikation ausgeht: Ein TesterprozeB hat die Moglichkeit, 
alternative Aktionen der IUT selektiv zu blockieren. Diese Annahme ist fur reale Kommu- 
nikationssysteme aber vollig unrealistisch, weil die physikalische Kommunikation auf der 
Schicht 1 des OSI-Modells immer asynchron erfolgt. 

Leistungsbewertung 

Die bisher behandelten Aufgabestellungen und Methoden betreffen ausschlieBlich die Model- 
lierung und Analyse des logischen Verhaltens von Kommunikationssystemen. Auf der ande- 
ren Seite besteht ein Bedarf an Modellieruhgswerkzeugen, die es erlauben, Leistungsaspekte 
von Kommunikationssystemen anhand eines Modells zu ermitteln. Solche Leistungsaspekte 
werden teilwei.se durch stochastische und teilweise durch deterministische KenngroBen dar- 
gestellt. Zu den stochastischen KenngroBen gehoren beispielsweise: 
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• Der erreichbare mittlere Durchsatz von Nachrichten durch bestimmte Systemkbmpo- 
nenten. 

• Die Wahrscheinlichkeit, daB eine bestimmte fehlerhafte oder unerwunschte Situation 
auftritt. Dafur kommen beispielsweise Pufferiiberlaufe, Uberschreitungen von Zeit- 
schranken oder Kollisionen beim Zugriff auf Rundsendemedien wie beim Ethernet in 
Frage. 

• Mittlere Verzogerungen bestimmter Systemantworten; 

• Erwartungswerte fur SystemgroBen wie Pufferfullstande. 

Deterministische KenngroBen erhalt man entweder als Extremwerte der beschriebenen sto- 
chastischen GroBen oder in vollstandig deterministischen Leistungsmodellen. Beispiele sind: 

• Der maximale Fiillstand eines Puffers, wichtig fur dessen Dimensionierung. 

• Die maximale Antwortzeit auf eine Nachricht oder ein Ereignis, wichtig beim Entwurf 
yon Echtzeitsystemen. 

• Die tatsachliche Laufzeit einer Nachricht im Falle deterministischer Modellierung; w 

Im Gegensatz zu den beschriebenen logischen Modellierungsansatzen brauchen Leistungs- 1 
modelle nicht alle Feinheiten der Protokollabwicklung zu beinhalten. Statt dessen miissen 
relevante Zeitdauern fur Zustandswechsel, im Extremfall als Wahrscheinlichkeitsverteilun- 
gen dieser Zeiten, und Auswahlwahrscheinlichkeiten fur nichtdeterministische Entscheidun- 
gen modelliert werden. Die folgende Liste nennt eine Reihe von Modellierungswerkzeugen 
zur Leistunganalyse: 

• Warteschlangenmodelle sind Modellierungen stochastischer Prozesse, bei denen War- 
teschlangen mit einer bestimmten Bedienstrategie und ein BedienprozeB mit einer be- 
stimmten Verteilungsfunktion der Bedienzeit als Elemente dienen. 

• Stochastische PetrUNetze [Mol82] sind Erweiterungen von Petrinetzen [Rei85] um Zeit- 
konzepte. Damit lassen sich verteilte und nebenlaufige Systeme in ihren Zeitaspekten 
grafisch modellieren. Viele Klassen stochastischer Petrinetze erlauben eine Leistungs- 
bewertung nicht nur durch Simulation, sondern auch durch numerische Analyse des 
durch das Netz beschriebenen stochastischen Prozesses. 

• Zeiterweiterte Prozefialgebren sind Erganzungen des in Abschnitt 2.1.2 beschriebenen 
ProzeBalgebra-Konzepts um Zeitaspekte. 

• Spezielle Simulationssprachen erlauben die Beschreibung von verteilten und ne- 
benlaufigen Systemen auf einer Ebene, die naher bei den Programmiersprachen liegt. 
Das Verhalten einzelner Systemkomponenten laBt sich meist direkt als Programmfrag- 
ment spezifizieren. Solclie Modelled erlauben, weil sie sehr allgemeine Modellierung 
ermoglichen, nur noch die Simulation zur Ermittlung von LeistungskenngroBen. 
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... Es ist heute emoffenes Problem, ob.es moglich und sinnvoll ist, zur vollstandigen logischen 
Spezifikation und zur Leistungsbewertung ein und dasselbe Modell zu verwenden. Ein sol- 
ches Vorgehen hatte die Vorteile, daS die Modellierung nur einmal erfolgen muB und keine 
Inkonsistenzen zwischen beiden Modellierungssichten infolge von Modellierungsfehlem ent- 

f^l T 6n ' 71 f"" 1 *™ als auch die Analyse von Leistungsmodellen reagieren 
jedoch sehr empfindhch auf die GroBe des Zustandsraums, den das Modell aufspannt" Da- 
her erfolgt die Leistungsbewertung heute meist anhand von Modellen, die manuell auf die 

STTh ^ Sind UDd V ° m vollstandi S en kgischen Ablauf abstrahieren. Eine 

solche Reduktion in formal korrekter Weise automatisch vornehmen zu konnen ist die Grund- 
voraussetzung, um die logische und die Leistungsanalyse schlieBlich zusarnmenzuffihren 



Protokollmonitore 



St tm n e r^ biSh ^ aUfgefiihrt f V 0nZePte d6r in der EinleitUn g umrissene Einsatzkon- 
text einer^ve« Messung im laufenden Kommunikationssystem zu. Der Stand der Technik 

mdiesemBereichsolljetztuntersucht werden. 

IttTnZ^ f^ S j nd ° er§t 7 e k°nunerziell verfugbar, die uneinheitlich als Protokolltester, 
Protokollmom ore oder Protokollanafysatoren bezeichnet werden. Im folgenden soil der Be- 

ZluX v T SC GerSteklaSSe verwendet w ^n. Es handelt sich um trans- 

portable Rechner, dae meist mittels spezieller Schnittstellenmodule und Software in der Lage 
s nd, Messungen an em oder mehreren Beobachtungspunkten in einem YLov^^oJL- 
T£5S££S?* HMS91 ' SMM98] - « ^nsmerkmale sind 

• AutomatischeDeto^^ Statt 
ernes bmar oder hexadezimal dargestellten Ur-Datenstroms sieht der Benutzer die In- 
halte der einzelnen Datenfelder der Nachrichten mit den Feldbezeichnungen und in ei- 
ner Passenden numerischen oder textuellen Representation. Diese Aufgabe entspricht 

SS^aTlS 1 "^ TranSf6rSyntaX deS ****** * d -bstrakte f 

• Erkennung und Anzeige von Kodierungsfehlern, d. h. von Fallen, in denen die Kodie- 
rungsregeln des angezeigten Protokolls fur einzelne Nachrichten verletzt werden Bei- 
spiele sind Bereichsuberschreitungen fur numerische Feldinhalte oder das Fehlen von 
uatenreidern, die zwingend vorgeschrieben sind. 

# Sstoten T ^ beStimmte Nachrichten - z - B- nur die Nachrichten einer 

f^T e ^ °Jf DUr 6men Nachricht ^typ mit ganz bestimmten Feldinhalten 
- anzuzeigen. Solche Filter erlauben es, bestimmte Kommunikationsituationen schritt- 
weiseeinzugrenzenundzuisolieren. uauonen scnntt 

# ^dl^TT^ diC ^ Au , fk0mmen 311 Kommunikationsverkehr nach unter- 

f ? ^? T T eigeD - A1S k0mmen die verschiedenen auf derselben 

SS^hV ^ Tf° n l ***** yersch ^ virtuelle.Verbindungen, einzelne 
Nachnchtentypen oder Kombinationen davon. 
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Die Analyse des Kommunikationsverhaltens iiber eine Folge von Nachrichten hinweg gehort 
nicht zu den Fahigkeiten heutiger kommerzieller Protokollmonitore. Diese Aufgabe muG vom 
Benutzer eines Protokollmonitors in Handarbeit erledigt werden. Der Benutzer kann dabei 
lediglich auf die Funktionsmerkmale des Monitors zuruckgreifen, beispielsweise Filter setzen 
und diese schrittweise einengen. 

Spuranalyse 

Die automatische, nachrichtenubergreifende Analyse eines Kommunikationsverhaltens wird 
in der Literatur als Spuranalyse {trace analysis) bezeichnet. Hierbei wird eine Teilmenge der 
Interaktionspunkte {interaction points, IPs) einer IUT passiv beobachtet, urn eine Spur ihres 
Verhaltens aufzuzeichnen. Der Analysator greift in keiner Weise in den Kommunikationsvor- 
gang ein. Er rekonstruiert die Folge interner Aktionen der IUT, die im Einklang stehen mit 
der Protokollspezifikation, mit den beobachteten Eingaben in die IUT und ihren beobachteten 
Ausgaben. 

Im Vergleich zu den zuvor beschriebenen Themenkomplexen Spezifikation, Validierung, Ve- 
rifikation, aktiver Protokolltest und Testgenerierung ist in der Literatur vergleichsweise wenig 
zum Thema Spuranalyse veroffentlicht worden. 

Zwei der ersten Papiere, die einen Uberblick iiber die Spuranalyse von Kommunikati- 
onsprotokollen liefern, sind [JvB83] und [UP86]. Diese Arbeiten konzentrieren sich zwar 
hauptsachlich auf die Validierung der Verfeinerungen von Spezifikationen, aber sie fuhren 
bereits grundlegende Begriffe und Losungsvorschlage fur das Testen vori Protokollimplemen- 
tierungen ein. 

Eine Implementierung eines „passiven Monitors" — nach der Terminologie der vorliegenden 
Arbeit eines Spuranalysators — fur die gleichzeitige Analyse mehrerer OSI-Protokollschichten 
wird in [CL91] beschrieben. Den Schwerpunkt bildet dort eine beispielhafte Anwendung des 
Analysators auf das X.25-Protokoll [CCI88]. Das beschriebene System basiert auf in C kodier- 
ten Zustandsmaschinen und erfordert ein vollstandiges Zuriicksetzen der Kommunikations- 
verbindung, um mit einem definierten Ausgangszustand seine Analyse beginnen zu konnen. 

Die Arbeit [KCV92] prasentiert einen theoretischen Ansatz, der vom FSM-Kern einer in ei- 
ner Untermenge von Estelle formulierten Spezifikation ausgeht und zunachst alle Folgen von 
internen Aktionen {action paths) aufzahlt, die die Spezifikation zulaBt. AnschlieBend werden 
durch symbolische Auswertung alle Pfade herausgeloscht, die nur wegen der Zustandsvaria- 
blen oder Nachrichtenparameter ungultig sind. Dieses Verfahren ist vom theoretischen Stand- 
punkt aus attraktiv, da es sowohl zur Spuranalyse als auch zur Testfallgenerierung verwendet 
werden konnte. Allerdings ergeben sich Aufwandsprobleme aus der Tatsache, daB hier mit 
ganzen Pfaden anstelle von Zustanden gearbeitet wird. 

In [BvBDS91] wird Spuranalyse gegeniiber LOTOS- Spezifikationen behandelt und das Ana- 
lysewerkzeug TETRA vorgestellt. Seine Prolog-Implementierung des Spuranalysealgorithmus 
verwendet xminstantiierte Prolog- Variablen, um das Problem nichtdeterministischer Auswah- 
len und nichtdeterministischer Werterzeugung zu losen. Dieser Ansatz beinhaltet keine Zeit- 
bedingungen, weil das Original-LOTOS — ohne Zeiterweiterung wie beispielsweise in [Sch94] 
— keine Zeit modelliert. AuBerdem ist die Auswertung von LOTOS- und Prolog-Konstrukten 
ineffizient. 
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Die Arbeit [EvB95] stellt.den rango-Ubersetzer vor, der eine Estelle-Spezifikation mit ei- 
nem einzelnen Modul und ohne Zeitbedingungen in eineri protokollspezifischen Spuranalysa- 
tor ubersetzt. Dieser Ansatz ist sehr elegant, weil Estelle direkt verwendet wird. Die Arbeit 
spricht alle wesentlichen Aspekte einer realen Spuranalyse in Echtzeit, d. h. wahrend der 
Kommunikation, an. 1 

2.1.4 Lernverfahren 

Im Laufe der Zeit sind immer mehr Verfahren entwickelt worden, die aus einem Satz von 
Beispielen, einer Trainingsmenge, maschinell eine Klassifikationsfunktion konstruieren, die 
charakteristische Eigenschaften der Trainingsmenge beschreibt und weitere, nicht in der Trai- 
ningsmenge enthaltene Beispiele geeignet klassifizieren soil. Dazu gehoren so unterschied- 
liche Ansatze wie statistische Klassifikatoren,, Abstandsklassifikatoren, Verfahren auf Basis 
neuronaler Netze, z. B. Backpropagation [RM86], Entscheidungsbaumverfahren [UW81] so- 
wie das Konzept der Induktiven Logischen Programmierung {inductive logic programming, 
ILP) [BM95, LD94, L+96]. 

Nach Kenntnis des Autors ist in der Literatur bisher nicht von der Anwendung eines Lernver- 
fahrens berichtet worden, um Regeln eines Kommunikationsprotokolls aus einer beobachteten 
Protokollabwicklung abzuleiten. Im folgenden Abschnitt werden daher einige grundlegende 
Eigenschaften dieser Lemaufgabe angesprochen, um einen Bezug zwischen den bekannten 
Verfahren und der hier betrachteten Anwendung herstellen zu konnen. Die Abschnitte danach 
geben ein bekanntes theoretisches Resultat zur Losbarkeit dieser Aufgabe wieder und gehen 
auf die Eignung bekannter Verfahren ein. 

Charakterisierung der Lernaufgabe 

In Abschnitt 2.1.2 wurden Formalismen erlautert, die man zur Spezifikation von Protokol- 
len verwendet. Aus der Kenntnis dieser Methoden laBt sich ableiten, daB das Erlernen eines 
Protokolls formal betrachtet das Erlernen einer Sprache darstellt, und zwar der Sprache der 
mit dem Protokoll vereinbaren Folgen beobachteter PDUs. Diese wird als Spursprache {trace 
language) des Protokolls bezeichnet und durch die Semantik des ProzelJalgebra- oder Auto- 
matenmodells der Protokollspezifikation originar definiert. 

In der Einleitung wurde bereits angedeutet, daB die Protokollablaufe, aus denen die Protokoll- 
regeln erlernt werden sollen, ausschlieBlich positive Beispiele sein werden. Diese Forderung 
ist eine zwingende Folge des Anwendungskontextes: Um im Besitz negativer Beispiele zu 
sein, d. h. von Beispielen mit ProtokollverstoBen, oder um einen beliebigen Beispielverkehr in 
korrekte und fehlerhafte Ablaufe aufteilen zu konnen, muB man die Spezifikation des korrek- 
ten Protokollverhaltens bereits zur Verfugung haben. Dann macht es aber keinen Sinn mehr, 
ein Lernverfahren einzusetzen. Ohne Kenntnis der Spezifikation ist es aber die naheliegendste 
Annahme, daB man eine Referenzstrecke mit vollstandig protokollkonformer Kommunikati- 
on zur Verfugung hat. Hieraus folgt, daB das Lernverfahren allein mit positiven Beispielen 
auskommen muB. In der Literatur wird unterschieden zwischen uberwachtem und unuber- 
wachtem Lernen {supervised bzw. unsupervised learning) [HKP91]: Im Fall des iiberwachten 
Lemens erhalt der Lerner — von einer gedachten Lehrerinstanz — die Klasseneinteilung der 
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Lehrbeispiele mitgeteilt, z.B. eine Einteilung in Positiv- und Negativfalle. Im zweiten Fall, 
der damit der vorliegenden Anwendung entspricht, sieht der Lerner ausschlieBlich die Bei- 
spiele ohne jeden Hinweis einer Klassenzugehorigkeit. 

In einigen Lernansatzen wird das Fehlen konkreter Negativbeispiele durch die Annahme einer 
abgeschlossenen Welt {closed world assumption, CWA) kompensiert. Die CWA sagt aus, daB 
alle nicht in der Trainingsmenge enthaltenen Beispiele als Negativbeispiele gelten sollen, also 

E=U\E> 

wenn E die Menge der negativen Beispiele, E die der positiven Beispiele und U das Univer- 
sum der Klassifikationsaufgabe symbolisieren. Die CWA ist beim Erlernen eines Protokolls 
jedoch unbrauchbar, weil aufgrund der Komplexitat realer Protokolle im allgemeinen nicht 
alle moglichen korrekten Protokollablaufe in einer Trainingsmenge vorkommen konnen. Dies 
sieht man leicht ein„ wenn man beachtet, daB beispielsweise im Protokoll Q.21 10 [IT94a] pro 
Protokollinstanz u. a. 4 Zahlervariablen mit jeweils einem Wertebereich der Machtigkeit 2 24 
vorkommen. Daraus folgt, daB sich die Lernaufgabe als generalisierendes Lernen aus positi- 
ven Beispielen charakterisieren laBt. 

In Protokollen kommen oft Zahlervariablen und Sequenznummern vor, iiber die Bestatigungs- 
und Wiederholungsmechanismen definiert werden (beispielsweise [IT94a, CCI88]). Exemplar * 
risch soil hier der Fall zweier beobachteter PDUs mit jeweils einem numerischen Datenfeld, 
geschrieben A(x) und B(y) i betrachtet werden. In solchen Fallen sagt der numerische Inhalt 
eines PDU-Datenfeldes allein nichts iiber die Kontextkorrektheit der PDU aus, eine Regel der 
Form 

x = c (cGN) 
ist also wertlos. Selbst eine Konjunktion der Form 

"a = ci A y = c 2 (ci , c 2 € N) 

hilft nicht weiter, es sei denn, es existiert eine eigene Regel fur jeden Wert aus dem Werte- 
bereich von x bzw. y, im obigen Beispiel der Q.21 10 also vielleicht 2 24 Regeln. Denn der 
wirkliche, vom Protokoll verlangte Zusammenhang konnte lauten: 

y ~ x + 1 y — x = 1 

Es ist demnach erforderlich, daB das Lemverfahren selbst arithmetische Terme — hier etwa 
(y — x) — bildet, urn in den Regeln darauf Bezug zu nehmen. 

Losbarkeit 

Das in Abschnitt 2.1.4 eingefuhrte Sprachlemparadigma wird in der Literatur als induktive 
Inferenz {inductive inference) [Sol64a, Sol64b] bezeichnet. Ein sehr firiihes theoretisches Re- 
sultat, das die algorithmische Losbarkeit dieses Problems betriffi, stammt von E. M. Gold aus 
dem Jahr 1967 [Gol67]: Selbst regulare Sprachen konnen nicht im Limit aus rein positivem 
Beispieltext gelemt werden. Weil dieses Ergebnis so wichtig ist, soil es kurz formal vorgestellt 
werden. 
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Definition 1 Gegeben ein endliches Alphabet E, eine Familie A von Sprachen L G E* undein 
Algorithmus a, der eine Folge von Wortem Xi G E* als Eingabe erhdlt und eine Grammatik 
G als Hypothese fur die Sprache ausgibt, zu der die Xi gehoren: 

« a(xi, ... 7 x t ) = G (xi v .,'i t eL G ) 

Man sagt, a identifiziert eine Sprache L im Limit, wenn alle'Xi, . . . , x t 6 L und fur eine 
Schrittnummer to gilt: 

Vt > to <y(x u ... , x t ) = G = const. A Lq = L 

Die Familie A von Sprachen heifit identifizierbar im Limit, wenn es einen Algorithmus a gibt f 
der jedes L G A im Limit identifiziert 

Die Xi werden auch als unendlicher positiver Text fur L bezeichnet. Der Algorithmus a sieht 
einen immer langer werdenden Text der zu lernenden Sprache und darf seine Hypothese nur 
endlich oft andern, bis sie gegen eine Grammatik fur L konvergiert. 

Gold hat gezeigt, dafi noch nicht einmal die Klasse aller endlichen Sprachen plus einer ein- 
zigen unendlichen im Limit identifizierbar ist. Die regularen Sprachen konnen also erst recht 
nicht aus einem positiven Text gelemt werden. Anschaulich ist dieses Ergebnis darin be- 
grtindet, daB die Anzahl der Zustande des endlichen Automaten, der die zu lernende Sprache 
modelliert, nicht begrenzt ist. Daher existiert zu jeder noch nicht beobachteten Symbolse- 
quenz immer auch eine Automatenhypothese, die auch diese Sequenz akzeptieren konnte. 

Eignung bekannter Verfahren 

Aus verschiedenen der in Abschnitt 2. 1.4 genannten Grixnde eignet sich kein bekanntes Lem- 
verfahren unmittelbar fur das Erlemen eines Kommunikationsprotokolls. 

Das Backpropagation-Verfahren (BP) [RM86] als bekanntester Vertreter der konnektionisti- 
schen Ansatze ist im Kem ein nichtlineares Regressionsverfahren, das eine recht effiziente 
Gradientensuche im Parameterraum erlaubt. Fur Klassifikationsaufgaben kann BP jedoch nur 
im liberwachten Lernen verwendet werden, da im Falle einer konstant „1" oder , Jcorrekt" lau- 
tenden Zielfunktion, quasi ungeachtet der Trainingsmenge, auch nur die Ausgabe „korrekt" 
erlemt wird. Dieser Sachverhalt ist auf weitere konnektionistische Verfahren. vom Typ des 
liberwachten Lemens ubertragbar, z. B. auf Regressionsverfahren mit radialen Basisfiinktio- 
nen [HKP91]. . •• 

Ein konnektionistisches Verfahren uniiberwachten Lernens sind die Merkmalskarten {feature 
maps) [HKP91], bei denen eine topologische Abbildung eines mit einem AhnlichkeitsmaB 
versehenen Merkmalsraums in einen strukturierten Reprasentantenraum gelemt wird. Bei die- 
sem Verfahren konnen — wie bei alien anderen Methoden, die auf einem vorgegebenen Ahn- 
lichkeitsmaB zur Cluster-Bildung beruhen — arithmetische Zusammenhange nicht im erforder- 
lichen Umfang erfaBt werden. ^ 

Verfahren aus der Klasse der Entscheidungsbdume (decision trees) bilden Klassifikationsre- 
gelri als einen Baum logischer Tests, eine Darstellungsfofm des Lernresultats, die kompakt, 
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effizient auswertbar und iiberdies auch fur Menschen nachvollziehbar ist [UW81]. Diese Ver- 
fahren benotigen durchweg Klasseninformation in der Trainingsmenge, und neu berechnete 
Attribute werden auch nicht verwendet. 

Naher an die vorliegende Problemstellung kommen die Verfahren aus dem Bereich der In- 
duktiven logischen Programmierung (inductive logic programming, ILP). Statt einer Partitio- 
nierang des Merkmalsraums nach einem relativ unflexiblen Muster wird hier ein logisches 
Programm, meist in Hornklausellogik, gelernt. Der formale Grundansatz (nach [LD94]) ist 
derfolgende: 

Gegeben das Hintergrundwissen B, eine Menge von Positivbeispielen E und ei- 
ne Menge von Negativbeispielen E 9 finde eine Hypothese H (ein logisches Pro- 
gramm, z. B. in Hornklausellogik), so daB 

1. B AH [= E 

2. Vx € E : B A H ^ x . 

Schon aus dieser Formalisierung ergibt sich die Rolle der Negativbeispiele. ILP-Verfahren 
sind iiberwiegend auf Negativbeispiele oder die CWA angewiesen. AuBerdem eignen sie sich 
fast ausschlieBlich fiir symbolische Welten, wo Pradikate aus dem Hintergrundwissen auf eine _ 
iiberschaubare Zahl von Atomen angewandt werden konnen. Kein bekanntes ILP-Verfahren r 
kann mit beliebigen Pradikaten uber numerische Attribute operieren, erst recht nicht arithme- 
tische Operationen konstruieren. 

2.2 Informelle Aufgabendefinition 

Nachdem der Stand der Technik beleuchtet wurde, gibt dieser Abschnitt eine Beschreibung 
der Aufgaben, die in dieser Arbeit gelost werden sollen. Dies erfolgt getrennt nach den Tei- 
laufgaben Spuranalyse und Protokoll-Lernen. 

2.2.1 Spuranalyse 

Hier wird die Aufgabenstellung des Aufgabenteils Spuranalyse prazisiert, also die passive 
Uberpriifiing eines Kommunikationsverhaltens anhand einer vorgegebenen Protokollbeschrei- 
bung. Dazu gehoren das Einsatzszenario fur ein entsprechendes Priifgerat, seine Funktionalitat 
im Hinblick auf die zu erhaltenen Ergebnisse der Analyse und eine Betrachtung der besonde- 
ren Anforderungen, die beim Losungsansatz beachtet werden mtissen. 

Einsatzszenario 

Das physische Einsatzszenario des Spuranalysators im Sinne dieser Arbeit ist in Figur A.4 
dargestellt: Der Analysator ist mit dem Kommunikationsmedium verbunden und kann die 
dariiber zwischen den Kommunikatipnspartnem A und B ausgetauschten PDUs mit ihren 
Datenfeldern mitlesen. Er hat jedoch keine Moglichkeit, in irgendeiner Weise in den Ablauf 
der Kommunikation einzugreifen. 



20 



KAPITEL 2. HINTERGRUND UND AUFGABE 



Nur System A ist in der Figur als IUT ausgewiesen, weil der Analysator konzeptionell nur 
die Richtigkeit des Verhaltens einer Partnerinstanz uberwacht. Das heiBt, daBim Falle von 
fehlerhaften Protokollprozeduren in jedem Fall gepnift wird, ob Partner A auf potentiell feh- 
lerhaftes Verhalten von B richtig, also protokollkonfbrm, reagiert. Wenn dagegen die globale 
Protokollkonformitat des beobachteten Verkehrs gepruft wiirde, also nur die Gutfallablaufe 
des Protokolls als fehlerfrei eingestuft wurden, konnte bei eiher Abweichung der verursa- 
chende Kommunikationspartner nicht automatisch festgestellt werden. Die Festlegung des 
Verfahrens auf eine beobachtete Instanz oder IUT stellt keinerlei Einschrankung dar, weil 
der Analysator prinzipiell zwei oder mehr Priifprozesse nebenlaufig ausfuhren kann, um alle 
beteiligten Kommunikationspartner auf korrektes Verhalten zu uberwachen. Folglich ist ein 
Ansatz mit einer IUT der allgemeinere und daher der einzig sinnvolle. 

Figur A.5 zeigt die logische Einbindung des Analysealgorithmus in den Kommunikations- 
prozeB: Der Analysealgorithmus erhalt die PDUs einer Protokollschicht n, n > 1, aus dem 
Protokollstapel der IUT als Eingabe. Er priift die Abwicklung dieses Protokolls und der Pro- 
tokolle der unmittelbar dariiberliegenden Protokollschichten, insgesamt k Protokolle, k > 1. 
Der Analysator erhalt dagegen keinerlei Information iiber die an den Dienstzugangspunkten 
(SAPs) ausgetauschten Primitiven. 

In dieser Arbeit wird nicht betrachtet, wie man die Anbindung des Analysators an das Kom- 
munikationsmedium realisieren konnte. Diese Aufgabe stellt kein wesentliches Problem dar, 
sie wird z. B. von den verfiigbaren Protokollmonitoren gelost, die in Abschnitt 2.1.3 beschrie- 
ben wurden. 

Als Grundlage der Uberpriifung muB der Analysator ttber ein Modell ffir das korrekte. Kom- 
munikationsverhalten der IUT verfiigen. Dieses Modell soli hier vom Informationsgehalt her 
einer formalen Protokollspeziflkation gemaB dem Protokollstandard entsprechen. Der genaue 
Ansatz der Protokollmodellierung wird in Kapitel 3 erlautert und begriindet. 

Es ist klar, daB die Uberprufung einer beliebigen Schicht nur dann sinnvolle Ergebnisse liefert, 
wenn alle darunterliegenden Schichten ihren vorgesehenen Dienst erbringen. Wenn beispiels- 
weise PDUs einer tiberwachten Schicht ausbleiben, weil sie bei der Ubertragung durch die 
unterliegenden Schichten zwischen der IUT und dem Analysator verlorengehen, kann dies 
nicht von einer Fehlfunktion in der iiberwachten Protokollschicht unterschieden werden. Die- 
ser Sachverhalt ist besonders bedeutend im Hinblick auf Bitfehler in Schicht 1, der physikali- 
schen Schicht, weil diese - wenn auch mit geringer Wahrscheinlichkeit - in jedem einwandfrei 
arbeitenden Kommunikationssystem auftreten konnen und durfen. Solche Bitfehler erschei- 
nen als Fehlfunktion der Schicht 1 und aller Schichten unterhalb der ersten Schicht, die die 
gesicherte Datenubertragung z. B. durch Wiederholung der gestorten PDUs gewahrleistet. Von 
wirklichen Fehlfunktionen mussen solche Falle durch ihre geringe Haufigkeit unterschieden 
werden. 



Funktionalitat 



Die wesentliche Aufgabe des Spuranalysators ist, Fehlerereignisse im Kommunikationsablauf 
der iiberwachten Schichten zu erkennen und zu melden. Hier erfolgt zunachst eine - noch 
weitgehend informelle - Definition, was darunter .zu verstehen sein soil: 
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Definition 2 Ein Fehlerereignis im beobachteten Kommunikationsverhalten einer Protokoll- 
instanz ist der fruheste Zeitpunkt t e einer zur Zeit i 0 begonnerien Beobachtung, fur den die 
Beobachtung im Zeitraum [£ 0 ; t e ] nicht in der Menge der vom zuginndeliegenden Protokoll 
zugelassenen Ereignisfolgen enthalten ist 

Aus der Definition folgt, daB es pro Beginn einer Beobachtung nur ein Fehlerereignis ge- 
ben kann. Nachdem ein Fehlerereignis erkannt worden ist, mufi also ein neuer — spaterer 
— Startzeitpunkt gewahlt werden, der allerdings nicht unbedingt nach dem Fehlerzeitpunkt 
liegen muB. Diese Konsequenz eines neuen Analysebeginns ist zweckmaBig, weil es nach 
dem Erkennen eines ProtokollverstoBes keinerlei Anhaltspunkt gibt,. welches weitere Proto- 
kollverhalten korrekt oder nicht korrekt ware. Figur A.6 gibt den Zusammenhang zwischen 
Beobachtungen und Fehlerereignissen nach Definition 2 beispielhaft wieder. 

Ein konkreter Fehler innerhalb eines Kommunikationssystems, egal welcher der in der Ein- 
leitung genannten Arten, fuhrt im Regelfall zu immer wiederkehrenden Fehlerereignissen, je 
langer die Kommunikation beobachtet wird. Eine groBe Zahl von gemeldeten Fehlerereig- 
nissen ist fur den Benutzer des Analysators aber nicht hilfreich, weil er nach dem konkreten 
verursachenden Fehler sucht, der beseitigt werden soli, und nicht nach den einzelnen Feh- 
lerereignissen. Es besteht also die zusatzliche Aufgabe, erkannte Fehlerereignisse so zu klbs- 
sifizieren, daB jede Klasse von Fehlerereignissen auf denselben konkreten Fehler im System 
zuriickzufuhren ist. Die Klassifikation kann nur danach erfolgen, welche Fehlerereignisse- sich 
so dhnlich sind, daB sie — vermutlich — vom selben Fehler verursacht wurden. Ein unmittelba- 
rer RiickschluB auf die verursachenden Fehler konnte nur erfolgen, wenn der Analysator^iiber 
ein Modell der Systemimplementierung verfugt, das eine Verfeinerung der Protokollspezifika- 
tion darstellt. Ein solcher Ansatz wird in dieser Arbeit nicht verfolgt, imd zwar aus folgenden 
Grunden: 

• Ein formales Implementierungsmodell ware erheblich komplizierter als die Protokoll- 
spezifikation und sehr viel schwieriger zu erstellen bzw. zu beschaffen. 

• Ein formales Implementierungsmodell ware nur fur einzelne Zielsysteme verwendbar, 
so daB dem erhohten Aufwand ein verringerter Nutzen hinsichtlich der Zahl der An- 
wendungsfalle gegenubersteht. 

Eine bereits erwahnte Eigenschaft vieler Protokollstandards ist die, daB der Standard Parame- 
ter und Optionen vorsieht, die erst bei einer konkreten Implementierung oder Anwendung des 
Protokolls festgelegt werden mtissen. Die jeweils gewahlten Festlegungen sind beispielswei- 
se im protocol implementation and conformance statement (PICS, [IS091]) aufgefuhrt. Eine 
sinnvolle Zusatzfunktion ftir den Spuranalysator besteht daher darin, diese Parameter, sofern 
sie dem Anwender nicht bekannt sind, aus der Beobachtung zu ermitteln bzw. zu schatzen. 
Man muB dabei beachten, daB eine solche Ermittlung keinen vollwertigen Ersatz darstellen 
kann fur die Kenntnis der PICS-Parameter, weil erstere im Zsf-Verhalten stattfindet und letzte- 
re das So//-Verhalten charakterisieren. 

Obwohl einzelne Fehlerereignisse nach den bisherigen Erkenntnissen keinen RiickschluB auf 
verursachende Fehler erlauben, lassen sich dennoch weitere Informationen. aus der Haufig- 
keit von Fehlern und Fehlersituationen im Verlauf der Beobachtung gewinnen. So ist eine 
Klassifikation nach transienten, permanenten und intermittierenden Fehler moglich: 
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Transiente Fehler treten nur einmalig auf. Spater beobachtet man in der gleichen Kommu- 
nikationssituation das korrekte Verhalten. 

Permanente Fehler fuhren wiederholt zu Fehlerereignissen, und zwar jedesmal, wenn die 
Kommunikationssituatioh auftritt, in der sich der verursachende Fehler des Systems 
auswirkt. 

Intermittierende Fehler treten zwar wiederholt, aber nicht immer in der entsprechenden 
Kommunikationssituation auf. 

Um diese Unterscheidung zu automatisieren, soil der Spuranalysator eine Statistik uber Feh- 
lerereignisse und Fehlersituationen fuhren und eine Fehlerquote ermitteln. Die Fehlerquote q c 
einer Fehlerereignisklasse c ist der Quotient 

Qc = &c/ $c 

aus der Anzahl der Fehlerereignisse e c dieser Klasse und der absoluten Haufigkeit s c der zu- 
gehorigen Kommunikationssituation. Neben der schon besprochenen Klassifikation der Feh- 
lerereignisse mufl dazu aufierdem eine Klassifikation der Kommunikationssituationen ein- 
gefuhrt werden. Die genauen Kriterien hierzu sind in Kapitel 3 zu finden. 

SchlieBlich soil die Fehlerquote in ihrem zeitlichen Verlauf korreliert werden mit der beobach- 
teten Kommunikationslast. Dies ist ein einfaches Kriterium, um den Spezialfall lastabhangi- 
ger Fehlerklassen heuristisch zu identifizieren: Je hoher der ermittelte Korrelationskoeffizient, 
desto wahrscheinlicher handelt es sich um einen lastabhangigen Fehler. 

Die folgende Liste faJ3t die in diesem Abschnitt erlauterten Funktionsmerkmale des Spurana- 
lysators auf einen Blick zusammen: 

1 . Fehlerereignisse erkennen 

2. Klassen afinlicher Fehlerereignisse ermitteln 

3. PICS-Parameter schatzen 

4. Fehlerquoten aus dem Auftretensmuster im Zeitverlauf berechnen 

5. Lastabhangige Fehler an der Lastkorrelation erkennen 

Besondere Anforderungen 

Dieser Abschnitt prazisiert die Aufgabenstellung, indem besondere Anforderungen definiert 
werden, die die Losung erfullen soil. An diesen Anforderungen orientieren sich die spateren 
Entwurfsentscheidungen wesentlich. 

Der Losungsansatz soli protdkollunabhangig sein, damit dieselbe Problemstellung nicht fur 
jedes Protokoll neu bearbeitet werden muB, was aufwendig und fehlertrachtig ware. Es sollen 
existierende formale Spezifikaitionsmethoden verwendbar sein, um das korrekte Kommunika- 
tionsverhalten fur den Analysator zu modellieren. 
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Die Spuranalyse soli moglichst in Echtzeit moglich sein. Diese Fahigkeit hangt natiirlich stark 
mit der Rechenleistung des Systems zusammen, auf dem der Analysealgorithmus jeweils im- 
plementiert ist, und auch von der Last auf der beobachteten Kommunikationsstrecke. Dennoch 
lassen sich aus dem Wunsch nach Echtzeiteinsatz einige Minimal forderungen ableiten: 

• Der Speicheraufwand des Verfahrens sollte im Mittel nicht von der Beobachtungsdauer 
abhangen. 

• Der Zeitaufwand des Verfahrens sollte hochstens linear von der Beobachtungsdauer 
abhangen, die Rechenlast also konstant sein. 

• Der PDU-Durchsatz des Verfahrens sollte auf zeitgemaBer Hardware von der GroBen- 
ordnung her einen Echtzeiteinsatz in praktisch relevanten Fallen moglich erscheinen 
lassen. 

Die ersten beiden Forderungen spiegeln wieder, daB die Ressourcen des Analysators keine 
Obergrenze fur die Beobachtungsdauer setzen sollen. Denn Echtzeitbetrieb ist vor allem bei 
langen Beobachtungszeiten interessant, fur kurze Beobachtungen laBt sich die Spur auch auf- 
zeichnen imd anschlieBend „offline" analysieren. Das entwickelte Verfahren soli sich tech- 
nisch sowohl fur den Betrieb „online", d. h. mit wahrend der Analyse eintreffenden Nachrich- 
ten, als auch „offline", d. h. anhand einer als Datei auf Massenspeicher vorliegenden Spur, 
eignen. 

Die Analyse des Protokollverhaltens soli unbedingt auch die Einhaltung vom Protokoll ge- 
forderter Zeitbedingungen priifen. Das ist wichtig, weil in praktisch relevanten Protokollen 
Zeituberschreitungen eine wichtige Rolle spielen als Ausloser fur bestimmte Protokollproze- 
duren. Nicht eingehaltene oder unter den Kommunikationspartnern inkompatibel eingestellte 
Zeitfenster sind dariiber hinaus eine wahrscheinliche und in der Praxis haufig anzutreffende 
Fehlerursache. 

Die vom Analysator vorgenommene Zeituberpriifung muB Toleranzintervalle zulassen, da 
beobachtete Zeiten infolge von Signallaufzeit, Nachrichtendauer, Pufiferverzogerung und 
MeBungenauigkeiten auch bei korrektem Verhalten der IUT von den in der Spezifikation ge- 
forderten Zeitbedingungen abweichen konnen. 

Die entscheidende Voraussetzung fur die praktische Brauchbarkeit eines Spuranalysators ist, 
daB dieser seine Analyse beijedem beliebigem Zustand der Kommunikation beginnen kann. 
Denn es ist praktisch unerwiinscht, daB man auf bestimmte Synchronisationsbedingungen im 
Kommunikationsablauf warten muB, die moglicherweise — wenn xiberhaupt — sehr selten auf- 
treten oder aber von auBen veranlaBt werden miissen, was im Widerspruch zum Konzept der 
passiven Beobachtung stunde. Der Fall eines unbekannten Protokollzustands tritt auBerdem 
ndiQhjedem erkannten Protokoll verstoB der IUT auf, denn jede Annahme iiber deren Folge- 
zustand ware Spekulation. Dies spiegelt sich auch wieder in der Definition 2 eines Fehler- 
ereignisses. Ezust und Bochmann schlagen in [EvB95] als eine mogliche Erweiterung ihres 
Verfahrens vor, alien Zustandsvariablen im Priifautomaten des Analysators ein Attribut „unde- 
finiert" beizufugen. Der im nachsten Kapitel dargestellte Ansatz dieser Arbeit ist allgemeiner, 
er enthalt die Losung mit dem Attribut „undefiniert" als einen Spezialfall. 
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Erne Schwiengkeit bei der passiven Spuranalyse entsteht dadurch, daJ3 die auf einem bidi- 
rektionalen Kornmumkationskanal gemachten Beobachitungen nicht als vollstandig sequenti- 
al angesehen werden konnen. Figur A.7.stellt den Basisfall dar, der zu einer mehrdeutigen 
Sequentiahsierung der beobachteten Aktionen ffihrt: Der Analysator beobachtet erst eine Ein- 
gabe a zur IUT und kurze Zeit spater eine Ausgabe b von ihr. Diese beiden PDUs konnen 
mussen aber nicht, sich zwischen dem Beobachtungspunkt und der IUT gekreuzt haben Das 
heiBt, die beiden entsprechenden Aktionsfolgen (a, 0) und </?', a ') waren mogliche Sequen- 
tiahsierungen aus Sicht der IUT, die die Beobachtung erklaren. 

In [EvB95] wird das Sequentialisierungsproblem ebenfalls erwahnt und durch eine zusatzliche 
Option gelost, die Sequenzuberpriifung zwischen bestimmten Nachrichtenwarteschlangen der 
Spezifikation zu unterdriicken. Im hier vorgestellten Ansatz, der nicht nur die Reihenfolge 
sondern auch Zeiten beriicksichtigt, sollte eine genauere Priifung erfolgen: Wenn und nur 
wenn das Zeitintervall At in Figur A.7 unter einer festgelegten oberen Schranke liegt, muB 
die Aktionsfolge mit Nachrichtenkreuzung als Alternative in Betracht gezogen werden. 
Das Analyseverfahren muB sich ffir nichtdeterministisch spezifizierte Protokolle eignen Dies 
ist zum einen erforderlich, weil viele Protokolle von vornherein nichtdeterministisch spezi- 
nziert sind Aber selbst im Falle eines deterministischen Zielprotokolls wird das Protokoll- 
verhalten de facto nichtdeterministisch, sobald - wie oben beschrieben - die iiber die SAPs 
ausgetauschten Primitiven sich der Beobachtung entziehen, der IUT-Zustand bei Analysebe- 
ginn unbekannt ist und mehrdeutige Sequentialisierungen auftreten. 

2.2.2 Protokoll-Lernen 

Dieser Abschnitt prazisiert die Aufgabe, die Regeln eines Kommunikationsprotokolls aus ei- 
nem fehlerfreien Beispielverkehr maschinell zu erlernen. Dazu wird im folgenden das Einsatz- 
szenario ffir einen lernenden Spuranalysator beschrieben. AnschlieBend werden der Lemvor- 
t bg S eS Uer UnterSUCht ^ strukturiert ™ d vereinfachende Annahmen uber die Lernaufgabe 

Einsatzszenario 

Das physische Einsatzszenario eines lernenden Spuranalysators entspricht dem in Figur A 4 
wiedergegebenen ffir das nichtlernende Verfahren: Der Analysator beobachtet den Kommu- 
nikationsverkehr uber die Verbindung zwischen System A, der IUT, und seinem Partner B 
Logisch teilt sich der Einsatz eines lernenden Spuranalysators in zwei Phasen, eine Lemphase 
una eine Prufphase. .* 

In der Lemphase liest der Lernalgorithmus die PDUs der Schicht n, ohne in die Kommuni- 
kation emzugreifer^ und leitet aus dieser Beobachtung Regeln ab, die das korrekte Protokoll- 
verhal en der IUT beschreiben (siehe Figur A.8). Dazu muB vorausgesetzt werden, daB sich 
sowohl die rUT als auch alle ffir den Transport der Schicht-n-PDUs verantwortlichen tieferen 
Protokollschichten tatsachlich protokollkonform verhalten, wie in Abschnitt 2. 1 .4 ausgefuhrt 
dies deutet das Hakchen in der Figur an. 

M ^^ hte ' daR f & nicHt er ^ der ? ich ist > daB ; sich die Partnerinstanz B der IUT korrekt 
verhalt. Wenn sie das tut, treten nie Fehlerprozeduren im Verhalten von A auf, so daB diese 
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naturlich auch nicht gelernt werden konnen. Dann wiirde in der Priifphase jeder Fehler von 
B prinzipiell einen VerstoB gegen die erlernten Regeln darstellen. Urn also die auftretenden 
Fehler genauso wie beim nicht lemenden Verfahren sicher einem Kommunikationspartner 
zuordnen zu konnen, ware es sogar wiinschenwert, wenn B in der Lernphase auch Verhal- 
tensfehler zeigte. Dies ist jedoch praktisch zu schwer erfullbar, um grundsatzlich gefordert zu 
werden. 

In der spateren Priifphase kann dann potentiell fehlerbehafteter Kommunikationsverkehr an- 
hand der gelernten Regeln iiberpriift werden, so dafl diese Phase im wesentlichen dem Einsatz 
des nicht lernenden Analysators nach Abschnitt 2.2.1 entspricht. Allerdings soil die Priifpha- 
se des lernenden Analysators auf eine Protokollschicht, Schicht n, beschrankt sein (siehe Fi- 
gurA.9). 

Annahmen zum Lernvorgang 

In diesem Abschnitt wird die Aufgabe des Protokollregellemens durch einige einschrankehde 
Annahmen vereinfacht, um eine Losung im Rahmen dieser Arbeit zu ermoglichen, urid in 
zwei Teilaufgaben zerlegt. 

Die ideale Lemaufgabe im Rahmen der bisherigen Ausftihrungen wiirde mit PDUs als Einga- 
be auskommen, die jeweils als eine Bitkette kodiert und dariiber hinaus nur noch mit einem 
Zeitstempel versehen sind. Die Semantik einer PDU ergibt sich aus den verschiedenen Teilen 
dieser Bitkette, den Datenfeldem der PDU. Folgendes sind die wesentlichen vorkommenden 
Feldarten: 

• Typinformationen geben den Typ der PDU oder manchmal auch nur eines Teils von ihr 
an. Typinformationen entscheiden damit iiber die Semantik weiterer Teile der PDU. 

• Langeninformationen geben an, wie viele Bits an irgendeiner Stelle der PDU ein be- 
stimmtes Feld bilden. Solche Informationen haben keinerlei Semantik fur das Protokoll, 
miissen aber ausgewertet werden, um die PDU richtig dekodieren zu konnen. 

• Daten sind einfache numerische, textuelle oder andere Informationen, die im Rahmen 
des Protokolls eine bestimmte Semantik haben, deren konkreter Wert jedoch keine Be- 
deutung fur die Dekodierung anderer Teile der PDU hat. 

• Nutzdaten sind die Inhalte der Felder bestimmter PDUs, die ohne Semantik fur das be- 
trachtete Protokoll im Auftrag der dariiberliegenden Protokollschicht n +1 iibertragen 
werden. Diese miissen bei der Analyse des Verhaltens der Schicht n vollstandig igno- 
riert werden. 

Diese Feldarten erlauben einen derart komplizierten PDU-Aufbau, daB es unmoglich er- 
scheint, die Grenzen, Arten und Bedeutungen der einzelnen Felder vollstandig aus den Bitket- 
ten der PDUs zu erlernen. Insbesondere die Trennung zwischen Nutzdaten und protokollre- 
levanten Informationen kann gar nicht gelingen, weil die Nutzdaten einem hoheren Protokoll 
gehorchen, so daB der Lemer zwangslaufig alle Protokollschichten ab n aufwarts zu lernen 
versuchen wiirde. Damit ware eine Mehrschichtenspezifikation zu rekonstruieren, wie sie — 
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Informationselement 


rp 

Typ 


Lange [Oktette] 


Protokolldiskriminator 


Pflicht 


1 


Call reference 


Pflicht 


4 


Message type 


Pflicht 


2 


Message length 


Pflicht 


2 


iVriij jJalciIIlCLdo 


opuonai 


A 0 1 
H — Z 1 


ATM user traffic descriptor 


Pflicht 


12-20 


Broadband bearer capability 


Pflicht 


6-7 


Broadband high layer information 


optional 


4—13 


Broadband repeat indicator 


optional 


4-5 


Broadband low layer information 


optional 


4-17 


Called party number 


optional 


> 4 


Called party subadress 


optional 


4-25 


Calling party number 


optional 


> 4 


Calling party subadress 


optional 


4-25 


Connection identifier 


optional 


4-9 


End-to-end transit delay 


optional 


4-10 


Notification indicator 


optional 


> 4 


OAM traffic descriptor 


optional 


4-6 


QOS parameter 


Pflicht 


6 


Broadband sending complete 


optional 


4-5 


Transit network selection 


optional 


>4 



Tabelle 2.1: PDU Setup aus dem Protokoll Q.2931 [IT94b] als Beispiel fur eine komplexe 
kontextabhangige PDU-Syntax. 
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wegen der Komplexitat und mangelnden Handhabbarkeit — im Protokoll-Engineering gerade 
nicht eingesetzt wird. 

Tabelle 2. 1 illustriert die mogliche Komplexitat des PDU-Aufbaus beispielhaft anhand der In- 
formationselemente,. die in einer SETUP-?T>U des Protokolls Q.2931 [IT94b] enthalten sein 
konnen (optional) bzw. miissen (Pflicht) und den Bereichen, in denen sich die Langen der ein- 
zelnen Informationselemente bewegen konnen. AuBerdem sind die einzelnen Elemente eben- 
falls komplex strukturiert, und ihre Reihenfolge ist weitgehend variabeL 

Es ist festzuhalten, daB das Erlernen von Protokollregeln auf Bitkettenebene ein wiinschens- 
wertes Fernziel bleibt. In dieser Arbeit, die das Erlernen von Protokollregeln nach Wissen des 
Autors erstmalig untersucht, soil folgende Vereinfachung angenommen werden: 

Die Dekodierung der PDUs der untersuchten Protokollschicht wird vorausge- 
setzt. Die PDUs der Trainingsmenge sind gegeben als attributierte Symbole einer 
endlichen Symbolmenge E, wobei jedes Symbol einem PDU-Typ/wr eine Kom- 
munikationsrichtung entspricht. Durch die Unterscheidung in ein- und ausgehen- 
de PDUs enthalt E bei symmetrischen Protokollen also doppelt so viele Elemente, 
wie es PDU-Typen gibt. Zu jedem a € E existiert eine bekannte Attributierung 
mit k a G N numerischen Attributen. Eine PDU hat also die Form 



mit a £ E und x\ , . . . , x ka EN. 

Femer wird der Regelerwerb nicht in Echtzeit gefordert, sondern wegen des hohen zu erwar- 
tenden Rechenaufwands im allgemeinen anhand einer in einer Datei abgelegten Spur durch- 
geftihrt. Die Priifphase dagegen soil, ahnlich wie fur die erste Teilaufgabe in Abschnitt 2.2.1 
dargestellt, moglichst in Echtzeit erfolgen konnen, sofern Analysator-Hardware und Einsatz- 
situation nicht zu ungiinstig gewahlt sind. 

Der Lernvorgang wird in folgende zwei Lernphasen eingeteilt: 

1. Erlernen des endlichen Automaten der PDU-Typen, also eines endlichen Automaten 
iiber dem Alphabet E. Diese Aufgabe entspricht der Identifikation einer regularen Spra- 
che aus positivem Text und ist nach [Gol67] nicht berechenbar (vgl. Abschnitt 2.1.4). 
Figur A. 10 veranschaulicht das Lernen der regularen PDU-Typen-Sprache. 

2. Erlernen von Regeln, die gultige Kombinationen der PDU-Attributwerte innerhalb ei- 
nes Fensters von w aufeinanderfolgenden Nachrichten beschreiben. Die FenstergroBe 
w ist ein Parameter des Lernverfahrens, der den Lernaufwand und die Genauigkeit des 
Priifvorgangs entscheidend beeinfluBt. Infolge der festen Attributierung pro PDU-Typ 
ergibt sich fur jede PDU-Typen-Folge u G S w ebenfalls eine feste Attributierung aus 
der Aneinanderreihung der Attribute der einzelnen PDU-Typen aus u. Formal laBt sich 
ein Pradikat ok u definieren, so daB 





protokollkonform 



g.d.w. 



ok u (x 



i. 



• * » x k ui ' * * 
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Figur A.1 1 veranschaulicht das Lernen eines ok-Pradikats fur eine beispielhafte Fen- 
stergroBe von w = 3. Natiirlich muB eine solche Attributregel fur jedes w-Tupel von 
PDU-Typen gelernt werden, das innerhalb des in Phase 1 gelemten Automaten auftritt. 

Weil in beiden Phasen generalisierendes Lemen aus positiven Beispielen stattfindet, ist das 
Lernverfahren vollstandig heuristisch. Die Minimalanforderung an das Lernresultat 'ist, daB 
es die Trainingmenge als Gutfall akzeptiert. Trotzdem lassen sich weder eine zu starke Ge- 
neralising, die Fehler in der Priifphase „ubersehen" konnte, noch eine zu schwache Gene- 
ralising, die bestimmte nicht trainierte Gutfalle als Fehler einstufen wiirde, mit Sicherheit 
ausschlieBen. . 

Das mr den nichtlemenden Spuranalysator beschriebene Problem der Nachrichtenkreuzung 
besteht in gleicher Weise auch fur das Lernverfahren. Da fur letzteres keinerlei Information 
uber die internen Aktionen der IUT vorliegt, muB das Lernverfahren die Falle mit Nachrich- 
tenkreuzung als eigene Pfade im gelernten Automaten erfassen. 



Kapitel 3 
Spuranalyse 



In diesem Kapitel wird ein neues Verfahren zur Spuranalyse im Online-Betrieb gemaB den 
in Abschnitt 2.1.3 dargestellten Anforderungen entwickelt. Das hier vorgestellte Verfahren 
wurde in [Mus97] erstmals veroffentlicht und griindet sich auf Vorarbeiten in [Mus94, Han95]. 
Es tragt den Namen FoIIowSM (follow a state machine, Nachvollziehen eines Automaten). 

Das Kapitel beginnt mit einer theoretischen Fundierung der Spuranalyse einschlieBlich einer. 
Untersuchung zur Berechenbarkeit AnschlieBend wird das dem FollowSM- Verfahren zugrun- 
deliegende vereinfachte Protokollmodell formal eingefiihrt und untersucht. Die algorithmi- 
sche Umsetzung des Analyseverfahrens ist Thema des darauffolgenden Abschnitts. SchlieB- 
lich wird beschrieben, wie FollowSM anhand von vorliegenden SDL-Spezifikationen einge- 
setzt werden kann. 



3.1 Theoretische Fundierung 

Dieser Abschnitt beschaftigt sich mit den theoretischen Grundlagen fur die zu erarbeitende 
Losung, namlich mit der Wahl des Spezifikationskalkuls, mit dessen Hilfe das Sollverhalten 
beschrieben wird, und der Frage, ob die gestellte Aufgabe im allgemeinsten Fall ein berechen- 
bares Problem darstellt. 

3.1.1 Wahl des Spezifikationskalkuls 

Charakteristisch fur den ersten Aufgabenteil ist, daB das „Wissen" um das korrekte Proto- 
kollverhalten — kurz Sollverhalten — dem Analysator von auBen vorgegeben, gewissermaBen 
eingebaut ist. In Kapitel 2 wurden als mogliche theoretische Konzepte hierzu einerseits die 
Prozefialgebra, andererseits die erweiterten endlichen Automaten vorgestellt. 

Aus folgenden Griinden wird fur diese Arbeit dem Automatenkonzept der Vorzug eingeraumt: 

1 . Im Bereich der praktischen Protokollstandardisierung herrscht die automatenbasierte 
Spezifikationsprache SDL der ITU vor. SDL-Spezifikationen iibernehmen in aktuellen 
ITU-Standards (z. B. [IT94a]) die Rolle der ausschlaggebenden Referenz. 
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2. Automatenbasierte Spezifikationen erlauben eine einfachere und fur menschliche Be- 
nutzer leichter verstandliche Representation von Kommunikationszustanden. In der 
ProzeBalgebra wird nichtterminierendes Protokollverhalten durch Verhaltensrekursion 
modelliert, so daB ein Kornmunikationszustand durch Positionen innerhalb der akti- 
ven ProzeBterme und Informationen uber die aktuellen Rekursionsebenen und die auf 
den einzelnen Ebenen gebildeten Variablenbindungen darzustellen ware. Im Automa- 
tenkalkul geniigen dagegen pro Automat (EFSM) der Spezifikation der Basiszustand 

. und die Belegung der Zustandsvariablen, eVentuell noch die Belegung der Warteschlan- 
gen an den Ein- und Ausgangen der einzelnen EFSMs. Diese Zustandsnotation ist in- 
tuitiver und iibersichtlicher. 

3. In der ProzeBalgebra wird im Grundsatz von der Unterscheidung zwischen Eingaben 
und Ausgaben abstrahiert, stattdessen betrachtet man Aktionen mit einer Anzahl von 
Teilnehmern. AuBerdem fuhrt das Paradigma der synchronen Kommunikation dazu, 
daB der Empfanger einer Nachricht durch seine vorhandene Oder nicht vorhandene Be- 
reitschaft zur Kommunikation prinzipiell immer einen EinfluB auf den Sender austibt, 
was in der physikalischen Natur realer Kommunikationssysteme keine Entsprechung 
hat. 

Die Auswirkungen von Punkt 3 sollen kurz anhand eines Beispiels verdeutlicht werden. Fi- 
gur A. 12 zeigt links ein Stuck einer Protokollspezifikation als LTS, wie es im ProzeBalgebra- 
Kalkul auftreten kann. Rechts ist eine zugehorige Beobachtung als verzweigungsfreies Ver- 
halten aufgezeichnet. Die Aktion c in der Beobachtung vertragt sich nur mit dem rechten 
Zweig der Spezifikation, den die IUT - aufgrund der nicht synchronisierten r-Aktion an sei- 
nem Anfang — auf eigene Initiative nichtdeterministisch ausgewahlt haben muB. Die zweite 
beobachtete Aktion a widerspricht daher der Spezifikation. Dabei sind folgende zwei Falle zu 
unterscheiden: 

1. a ist eine Ausgabe der IUT. In diesem Fall liegt mit Sicherheit ein ProtokollverstoB der 
IUTvor. 

2. a ist eine Eingabe an die IUT. a hatte von der IUT verarbeitet werden konnen, wenn 
die entsprechende Nachricht vor der r-Aktion bei der IUT eingetroffen ware. Sofern c 
eine Ausgabe darstellt, die sich mit a zwischen dem Beobachtungpunkt und der Part- 
nerinstanz der IUT kreuzt, kann auch die Partnerinstanz nicht „wissen", daB a nun zur 
Blockierung fuhrt. 

Naturlich lassen sich solche Mehrdeutigkeiten durch Erweiterungen des Kalkuls oder beson- 
dere Giiltigkeitsbedingungen fur die Spezifikation, wie beispielsweise in [HT97] vorgefuhrt, 
durchaus beseitigen oder entscharfen. Dennoch erschieint das asynchrone Kommunikationspa- 
radigma des Automatenkalkuls besser geeignet, gerade mit Fehlersituationen in realen Kom- 
mimikationssystemen formal umzugehen. 

Daher wird das Automatenkonzept als formale Basis in dieser Arbeit gewahlt. Als Sprache 
fur die Vorgabe des Sollverhaltens soli SDL verwendet werden, weil sie die in der Praxis 
verbreiteteste automatenbasierte Protokollspezifikationssprache ist. 
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3,1.2 Berechenbarkeit 

In diesem Abschnitt wird gezeigt, dafi bereits die Spuranalyse einer IUT, fur deren Spezifika- 
tion eine einzige EFSM dient, nicht berechenbar ist. Dies gilt damit erst recht fur Spezifika- 
tionen im vollen Sprachumfang von SDL. 

Zunachst wird dazu die vereinfachte Spuranalyse definiert, deren Unberechenbarkeit zu zei- 
gen ist. Fiir den Beweis wird ein Spezialfall der vereinfachten Spuranalyse auf eine Turing- 
Maschine (TM) iibertragen und die von dieser berechnete Funktion auf das Allgemeine Hal- 
teproblem reduziert, dessen Unberechenbarkeit hinlanglich bekannt ist (z. B. [Kai72]). 

Definition 3 Vereinfachte Spuranalyse; Gegeben seien die EFSM-Spezifikation A einer In- 
stanz, die uber einen unbeobachteten Kanal s und einen beobachteten Kanal p kornmuniziert, 
und ein beobachteter Kommunikationsablauf o uber p. Die vereinfachte Spuranalyse ermit- 
telt, ob ein Kommunikationsablauf i uber s und eine spezifikationskonforme Transitionsfolge 
t* von A existieren, so dafi o ein zuldssiges Verhalten von A kennzeichnet. 

Figur A. 1 3 illustriert die gegebene Definition. 

Nun soli folgender Spezialfall betrachtet werden: Der Automat A startet in seinem Initialzu- 
stand, erhalt dann eine vollstandige Eingabe i uber 5 und gibt eine resultierende Ausgabe o 
iiber p aus. A berechnet also eine Funktion f A : I* 0* 9 wobei J das Eingabealphabet an 
s und O das Ausgabealphabet an p bezeichnen. Damit lafit sich die vereinfachte Spuranalyse 
einer Beobachtung o leicht formalisieren als die Entscheidung der Formel 

Y A (o) = 3ier(f A (i) = o) 

In dieser Umgebung kann nun jede Turing-Maschine m als Automat A verwendet werden, 
beispielsweise, indem das Band der Turing-Maschine als eine Datenvariable der EFSM uber 
Zeichenketten modelliert wird und die Zustande von m direkt als Zustande von A verwendet 
werden 1 . Mit diesem Wissen laBt sich der betrachtete Spezialfall der vereinfachten ^Spurana- 
lyse wie folgt als Funktion Y : N x N {0; 1} beschreiben. Dabei muB die Beschreibung 
der beobachteten Instanz zum Funktionsargument werden: 

•\r / x ( 1 wenn 3i(m(i) = o) ■ 
y(m ' o) = |o sonst 

wobei m die Godelnummer einer Turing-Maschine ist, die fur alle Eingaben halt, und m(i) ist 
die Ausgabe der durch m kodierten Turing-Maschine bei Eingabe i. Uber die Funktionswerte 
von Y fur Eingaben m, die fur gewisse i nicht halten, wird keine Aussage gemacht. Diese 
Einschrankung ist sinnvoll, weil m ja die Spezifikation der beobachteten Instanz reprasen- 
tiert — sie wird als verklemmungsfrei vorausgesetzt. Ein Spuranalysealgorithmus konnte also 
den Instanzautomaten mit gewissen Eingaben „probe>yeise ausfuhren", ohne die eigene Ter- 
mination zu gefahrden. Der folgende Beweis zeigt, dafi ein Algorithmus fur die vereinfachte 
Spuranalyse selbst unter dieser gunstigen Annahme nicht existiert. 

^ies erfordert ein EFSM-Modell, das auch leere Ein- und Ausgaben zulafit, damit die Berechnung selbst 
nicht beobachtet wird. Fur EFSMs mit mehreren Kanalen ist diese Sichtweise naturlich, da Transitionen hier 
ohnehin nur mit Interaktionen auf einem Teil der Kanale verkniipft sind. 
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Theorem 1 Es gibt keine berechenbare Funktion Y : N x N {0; 1}, die der gegebenen 
Beschreibung entspricht. 

Beweis: Angenommen, es gibt eine solche berechenbare Funktion Y 9 also eine Turing- 
Maschine, die sie berechnet. 

Es gibt bekanntlich ([Kai72]) eine universelle Turing-Maschine U, die die Godelnummer ei- 
ner Turing-Maschine und eine Eingabe erwartet und die angegebene Maschine auf dieser Ein- 
gabe simuliert. Daraus laBt sich eine Turing-Maschine S konstruieren, bei der 5(m, i, n) = 1 
g.d.w. die TM mit Godelnummer m bei Eingabe % innerhalb von n Schritten terminiert, sonst 
S(ro, i, n) = 0. Dies ist z. B. moglich durch die Erweiterung von U urn einen Schrittzahler, 
der mit einem berechenbarkeitstheoretisch unerheblichen zweiten Band realisiert wird. 

Bezeichne nun 5 mji die Godelnummer der Turing-Maschine, bei der die Argumente m und 
i gegeniiber S fixiert sind, so daB 5 mjl -(n) = 5(m,z,n). Diese Godelnummer ist aus der 
Godelnummer von S, m und % berechenbar, weil die Godelnummer einer TM, die ein festes m 
und i auf das Band schreibt, berechenbar ist und die Operation der Verkettung dieser TM mit 
S ebenfalls auf arithmetische Operationen zuruckfuhrbar ist. Man kann also eine Maschine H 
konstruieren, so daB: 

H{m,i)^Y(S m%u l) 

H berechnet also erst die Godelnummer S m ,u schreibt eine 1 als zweite Eingabe aufs Band 
und startet abschlieBend Y. H berechnet: 

Gibt es eine Eingabe n an 5 m>i , so daB 1 als Ausgabe erzeugt wird (nach 
Definition von YJ> ^ 

Unddamit: 

Gibt es eine Schrittzahl n, nach der die Turing-Maschine mit Godelnummer 
-to halt, wenn i eingegeben wird? 

Dies ist offenbar das Allgemeine Halteproblem, welches unberechenbar ist. Dieser Wider- 
spruch macht die Annahme der Existenz von Y unhaltbar. □ 

Weil bereits der untersuchte Spezialfall der vereinfachten Spuranalyse nicht berechenbar ist, 
gilt diese Feststellung auch fur alle allgemeineren Falle. 



3.2 Losungsansatz 

Nachdem im vorangegangenen Abschnitt gezeigt werden konnte, daB die Aufgabe der Spur- 
analyse - selbst ohne Einbeziehung von Zeitbedingungen - nicht uneingeschrankt automa- 
tisierbar ist, fuhrt dieser Abschnitt ein reduziertes Protokollmodell ein, das an die Anforde- 
rungen hinsichtlich Berechenbarkeit und Effizienz der Spuranalyse angepaBt ist und auf dem 
das FollowSM- Verfahren basiert. Dieses Modell enthalt auch einen exakten Formalismus zur 
Beschreibung von Zeitbedingungen fur das Protokollverhalten. Der hier dargestellte Ansatz 
wurde bereits in [Mus97] publiziert. 
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Die Konsequenzen, die sich aus der Aufgabenstellung fur dieses Protokollmodell ergeben, 
werden sich als so gravierend erweisen, daB ein direkte Ruckgriff auf eine geeignete Unter- 
menge von SDL zur Beschreibung des Sollverhaltens verworfen werden muBte. Der stattdes- 
sen eingeschlagene Losungsweg besteht darin, 

1 . den in diesem Abschnitt eingefuhrte Hilfsformalismus zur formal exakten Beschreibung 
eines Sollverhaltens zur Verfugung zu stellen, und 

2. anschlieBend ein Werkzeug zu entwerfen, das SDL-Spezifikationen in diesen Hilfsfor-. 
malismus iiberfuhrt. Dieser Schritt ist wegen der gezeigten Unberechenbarkeit mit ei- 
nem Verlust an Exaktheit verbunden und erfordert moglicherweise manuelle Hilfestel- 
lungen, da Entwurfentscheidungen und Kompromisse festzulegen sind. 

Der zweite Schritt ist Gegenstand eines spaieren Abschnitts in diesem KapiteL 

3.2.1 Protokollmodellierung und einfache Spur analyse 

Die einfache Spuranalyse im Sinne des FoZ/owSM-Verfahrens basiert auf einer Protokollspe- 
zifikation in Form eines einzelnen erweiterten endlichen Automaten (EFSM). Dieses Modell 
wird im folgenden als beobachtbarer zeitbehafteter erweiterter endlicher Automat {observa- 
ble timed extended finite state machine, OTEFSM ) bezeichnet. Die Beschrankung auf einen 
einzelnen Automaten stellt im Hinblick auf die Modellierungsmachtigkeit keine prinzipielle 
Einschrankung dar, da e?-weiterte endliche Automaten — wie schon in Abschnitt 3.1.2 ange- 
sprochen — Turing-Maschinen simulieren konnen, sofern Zustandsvariablen mit unendlichem 
Wertebereich verwendbar sind. 

Beobachtbare zeitbehaftete EFSM 

Ein beobachtbarer zeitbehafteter erweiterter endlicher Automat (OTEFSM) M ist ein Qua- 
drupel M = (Q, T, E, A, d) mit folgenden Eigenschaften: 

• Q ist eine Menge von einfachen Zustanden, die denjenigen Anteil der Zustandsinfor- 
mation der Protokollmaschine beschreiben, der nicht zeitbezogen ist. Q darf unendlich 
sein. 

• T ist eine endliche und moglicherweise leere Menge von Zeitgebernamen. 

• E ist eine moglicherweise unendliche Menge von Ein- oder Ausgabesymbolen. 

• A ist eine endliche Menge von Transitionen (Zustandsiibergangen). Diese Transitionen 
sind weiter strukturiert, wie weiter unten erlautert wird. 

• d € N ist die maximale Ausgabeverzogerung^ diejenige Zeitspanne, die hochstens ver- 
streichen kann, bis eine von einer Transition erzeugte Ausgabe tatsachlich sichtbar wird 
(vgl. Sequentialisierungsproblem in Abschnitt 2.2. 1 ). 
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Wie.das letzte. Element andeutet, wird die Zeit im OTEFSM-Mpdell als natiirliche Zahl re- 
prasentiert. Diese Entscheidung ist allerdings willkiirlich, benotigt wird nur die totale Ord. 
nung, nicht die Abzahlbarkeit der Zeitpunkte, 

Im folgenden wird Indizierung mit Namen benutzt, urn Komponentenbeziehungen klarzu- 
stellen, wo immer das erforderlich ist. Beispielweise bezeichnet Q M die Zustandsraumkom- 
ponente der OTEFSM M. Indizierung mit naturlichen Zahlen kommt dariiber hinaus .zum 
Einsatz, um Projektion auszudriicken, z. B. in p 2 = 4 fur p = (3, 4). 

Ausgehend von den einfachen Zustanden Q und Zeitgebemamen T erhalt man die Menge der 
vollstdndigen Zustande S der OTEFSM formal als 

mit Elementen (q, r) e S f Dabei bezeichnet die Menge der naturlichen Zahlen, erweitert 
um einen Wert „unendlich". Die praktische Bedeutung ist, dafi ein vollstandiger Zustand (q, r) 
aus einem einfachen Zustand q, einer Variablenbelegung, und einer Zuordnung von Zeitinter- 
vallen aus N^, zu den Zeitgebemamen, einer Zeitgeberbelegung, besteht. Die Zeitintervalle 
geben den absoluten Zeitraum an, innerhalb dessen der jeweilige Zeitgeber ablaufen wird. 
Damit lassen sich Nichtdeterrninismus und MeBungenauigkeiten im Zusammenhang mit zeit- 
bedingtem Verhalten modellieren. Das Paar (oo, oo) steht fur einen inaktiven Zeitgeber, der- 
„nie" ablaufen wird. 

Auf Zeitgeberzustanden r, r' € T -> bezeichne < eine partielle Ordnung, die den Inter- 
valleinschluB./ftr alle Zeitgeber reprasentiert: 

r < r'g.d.w. E r([rW lir (^] C [r'(^) l5 r'^) 2 ]) 

SchlieBlich wird noch ein spezieller Wert 1 ^ TuS verwendet werden, der Nichtexistenz 
ausdruckt. In diesem Zusammenhang werden die Abkiirzungen T 0 und E 0 eingefuhrt: 



T 0 d M TU{±} 
S 0 ^ SU{1} 



Jede Transition 8 e A ist ein Quintupel 5 = (ip, e, a, 9, it): 

• x{> (=T 0 bestimmt denjenigen Zeitgeber, der ablaufen muJ3, damit 6 zum Schalten akti- 
viert wird. Im Fall ^ = J_ handelt es sich um eine nicht zeitabhangige Transition. 

• e € P(Q x E x E 0 ) U P(Q x {±} x E 0 ) ist das Aktivierungsprddikat fur die Transi- 
tion 5. e defmiert sowohl die Zustandsbedingung, unter der 8 schalten kann oder muB, 
als auch mr Ein-/Ausgabeverhalten. Die erste Potenzmenge in der Vereinigung oben 
gilt ftir Transitionen, die durch Eingaben ausgelost werden, wahrend eingabelose Tran- 
sitionen von der zweiten abgedeckt werden. Im iibrigen durfen ausschlieBlich solche 
eingabelosen Transitionen zeitabhangig sein. 



a : e 



Q ist die Zustandsuberfuhrungsfunktion, die die Anderung des einfachen 
Zustandes der OTEFSM beschreibt, die eintritt, sobald 8 schaltet. 
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• 0 : T —¥ N 2 U {(oo, oo)} ist eine partielle Funktion, die den EfFekt von 5 auf den 
Zeitgeberzustand beschreibt. 0(ip) = (a, £>) bedeutet, daB der Zeitgeber tp beim Schalten 
von 5 gestartet wird und fruhestens nach a, spaiestens nach b Zeiteinheiten ablaufen 
wird. Der Sonderfall a = b = oo wird verwendet, urn das Anhalten eines Zeitgebers zu 
spezifizieren. 

• 7T € N ist die Prioritat von 5. GroBere Zahlen sollen hier fur hohere Priori taten stehen. 
Semantik 



Nachdem die Struktur einer OTEFSM beschrieben wurde, erfolgt in diesem Abschnitt die 
Definition der Semantik des Protokollmodells im Hinblick auf zulassige Beobachtungen und 
auf die — einfache — Spuranalyse gegeniiber einer OTEFSM-Spezifikation. 

Als erster Schritt hierzu wird die Funktion *:AxNx5xS 0 — » N 2 eingefuhrt, die ei- 
ne Aktivierungsprioritat ausdriickt. ^(5, t, s, i) ist die Aktivierungsprioritat der Transition 5 
zum Zeitpunkt t angesichts des vollstandigen OTEFSM-Zustands s und einer anstehenden 
Eingabe i, die von 5 zu verarbeiten ist; i = ± 9 falls keine Eingabe stattfindet. Diese Aktivie- 
rungsprioritat wird durch ein Paar von Zahlen ausgedriickt, weil sie sowohl von der Art der 
Transition, dem Automatenzustand und def Zeit abhangt als auch von der angegebenen Tran- 
sitionsprioritat 7r«j, und zwar in dieser Reihenfolge. Die totale Ordnung auf diesen zweistufigen 
Prioritaten ist daher gegeben durch 

(a, b) < (c, d) g.d.w. a < cV (a = cA6 < d) . 

Die Definition von \& unterscheidet zwischen folgenden, z. T. dynamisch bestimmten Transi- 
tionstypen: 

spontan tf(<5, £, s, i) = (1, 0) wenn ip 6 = -L A 7r § = 0 A 3o e E 0 ((s, _L, o) € es) 
unmittelbar *(<5, t, s, i) = (3, 7r$) wenn ^ = lA^>0A3o€ E 0 ((5, ±, o) 6 e 5 ) 
eingabeabhangig *(<J, i, s, i) = (2, 71^) wenn ^ = 1 A 3o G E 0 ((s, z, o) G e*) 
zeitabhangig i, 5, i) = (1, <k 5 ) wenn <0 5 7^ JL A r, (^)i < i A 3o £ £ 0 ((s 3 J_, 0) E e$) 
.inaktiv t, s, i) = (0,0) sonst. 

Eine weitere Funktion, $ : AxNxS ->{0;1}, markiert verspdtete Transitionen 5, d. h. akti- 
vierte zeitabhangige Transitionen, deren Zeitgeber im Zustand 5 zur Zeit t bereits abgelaufen 
ist. Es gilt: 

<b(A t 1 wenn ^ ^ 1 A t > r s (^) 2 A3o E E 0 ((5 } 1, o) 6 e^) 

V(0,t,s) - I Q sonst (3.1) 

Es folgt die Definition der lokalen Zustandsiibergangsrelation 

A C 5 x A x N 2 x Sq x 5. 
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Diese beschreibt den Effekt des Schaltens einer Transition innerhalb eines festgelegten Zeit- 
raums auf den vollstandigen OTEFSM-Zustarid. 

- ((Q,T),6,ti,t 2 ,i,o, (q\r')) e X 

bedeutet: Zustand (q,r) wird uberfuhrt in Zustand (g',r'), wenn die Transition 6 zu einem 
Zeitpunkt zwischen U und t 2 schaltet und dabei das Symbol i liest und das Symbol o ausgibt 
(wiederum i = J_ bzw. o = _L fur den Wegfall der Kommunikation). Mit einer intuitiven 
Pfeilnotation lautet die Definition: 

(q,T)^(q', T ') g.d.w 

2,0 

V* € [ti,t 2 ](^(S,t,(q,r),i) > (0,0)) A q' = a s ((q,r).,i,o) 

{(h + 0s(x)i, t 2 + 0 6 (x) 2 ) wenn x e dom(0 s ) 
(oo, oo) , wenn x = ip 5 A x <£ dom(0 5 ) (3.2) 

r(x) ' sonst 

Der zweite Fall bei der Anderung des Zeitgeberzustands modelliert, daB ein Zeitgeber auto- 
matisch deaktiviert wird, nachdem er eine Transition ausgelost hat. 

Nun kann die globale Zustandsubergangsrelation A* formuliert werden, die A so erweitert, 
daB die durch * festgelegte Priorisierung Beachtung findet. Ihre Funktionalitat ist: 

A* C S x N 2 x A x (E 0 x N) 2 x S x N 2 

Hierbei stent 

(s, h,t 2 , 6, i, ti, o, t 0 , s') G A* 

fur den Sachverhalt, daB ausgehend von Zustand s, der zu irgendeinem Zeitpunkt zwischen 
h und t 2 betreten wurde, als nachster Schaltvorgang einer Transition das Schalten von 5 zu 
irgendeinem Zeitpunkt zwischen und f 2 in Frage kommt, mit dem resultierenden Folgezu- 
stand s', wobei die Eingabe i mit ihrem Zeitstempel U gelesen und die Ausgabe o mit ihrem 
Zeitstempel t a erzeugt werden. Wiederum, i = ± bzw. o = ± stehen fur keine beobachtbare 
Ein- bzw. Ausgabe; in diesem Fall sind die Zeitstempel bedeutungslos. Mit der Abkiirzung 
P = ^ (6, t 2 , s, i) wird die Relation A* — in Pfeilnotation - definiert durch: 

s,t u t 2 6 > S ',t[,t' 2 g.d.w. s^%s' 

(»A).(o,to) i,o 
A ^ < t 2 A t x < t' x < t' 2 

A o ^ ± t' 2 < t 0 < t[ + d A i # ± t\ = t' 2 = ti 

A 'W*6A'(($(iV 2 ,5,i) <P.V (^. =^.A V(6*,t' 2 ,s,i) < (2,0))'). .... 
AVt* G (V(6*,t*,s,±) < (2,0) A $(8*,t*,s) = 0)) (3.3) 

Vom Standpunkt der Ausfuhrung einer OTEFSM-Spezifikation druckt dies alles aus, daB 
Transitionen entweder ausgelost werden konnen durch ihre zustandsabhangige Aktivierungs- 
bedingung allein (spontane und unmittelbare Transitionen) oder durch die Ankunft ei- 
ner Eingabe-PDU (eingabeabhangige Transitionen) oder durch den Ablauf eines Zeitge- 
bers (zeitabhdngige und verspdtete Transitionen). Spontane Transitionen haben eine „Kann- 
schalten"-Semantik, d. h., ihre Aktivierung erzwingt keinen Schaltvorgang. Unmittelbare 
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Transitionen dagegen mussen schalten, sobald sie aktiviert sind, und unterdriicken. dann alle 
anderen Transitionstypen. Aktivierte eingabeabhdngige Transitionen weisen auch eine , ,Mu6- 
schalten"-Semantik auf, konnen jedoch durch unmittelbare Transitionen zuriickgestellt wer- 
den. Zeitabhangige Transitionen sind ebenfalls als vom ,JVIui$-schalten"-Typ einzustufen, wo- 
bei der tatsachliche Zeitgeberablaufzeitpunkt zufallig gezogen wird innerhalb des Ablauf- 
intervalls [ii^] des zugehorigen Zeitgebers. Wenn das Aktivierungspradikat einer solchen 
Transition wahr wird, nachdem ihr Zeitgeber bereits abgelaufen ist, so wird von einer ver- 
spdteten Transition gesprochen, die zwar fur den Zeitpunkt dieses Ereignisses keine anderen 
Transitionen iiberdeckt, jedoch vor alien Alternativen schalten muB. 

Vom Standpunkt der Spuranalyse ist das beschriebene Verhalten der zeitabhangigen Tran- 
sitionen aquivalent zu den obigen Ausfuhrungen zu modellieren als eine „Kann-schalten"- 
Situation innerhalb des Zeitgeberablaufintervalls und eine „MuB-schalten"-Regel ab dessen 
Obergrenze t 2i weil der tatsachliche Ablaufzeitpunkt im Rahmen der Analyse ja nicht von 
vornherein bekannt ist. 

Zwischen aktivierten Transitionen gleichen Typs erfolgt die Priorisierung gemaB 7r$. Sofern 
dennoch mehr als eine Transition aktiv bleibt, findet eine nichtdeterministische Auswahl statt. 
Der Schaltzeitpunkt einer eingabeabhangigen Transition wird immer mit dem Zeitstempel 
der zugehorigen Eingabe-PDU identifiziert. Ausgaben konnen dagegen bis zu d s Zeiteinhei- 
ten nach ihrer Erzeugung beobachtet werden, Ausgabezeitstempel stellen also keine festen 
Schaltzeitpunkte dar. 

Eine Beobachtung ist genau dann eine zulassige Spur im Rahmen des Protokolls, wenn ein 
Anfangszustand $° G S existiertund eine Folge global zulassiger Transitionen der Form 

5 °, 0,0 £ > s\t\,t\ 6 - > . S ~ y s\tlt l 2 , 

die genau die beobachteten Ein- und Ausgaben mit den korrekten Zeitstempeln verarbeitet 
bzw. erzeugt — ±s wie iiblich ignoriert fur den Fall eingabe- bzw. ausgabeloser Transitionen. 

Die — einfache — Spuranalyse gegeniiber einer OTEFSM-Spezifikation bedeutet die Entschei- 
dung der Zulassigkeit einer gegebenen Spur. 

Damit ist die Definition der Semantik des OTEFSM-Modells abgeschlossen. 



Berechenbarkeit 

Die Definition der OTEFSM ist an zahlreichen Stellen gerade so zugeschnitten, daB die Spur- 
analyse gegen eine OTEFSM-Spezifikation effizient berechenbar ist. Das folgende Lemma 
bringt die wichtigste dieser Eigenschaften zum Ausdruck. 

Lemma 1 Betrachte einen Zustandsiibergang 

(q, T ),t u t 2 6 ) (q\T f ),t' u t' 2 

gemafi A* und einen vollstandigen OTEFSM-Zustand (q, f), i 2 mit Eintrittsintervall so dafi 

r > rA[t u i 2 ]D [t u t 2 ], - . 

Dann gilt: 
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a) Es existiert ein Schaltzeitinteryall i' 2 ] D {t x ,t' 2 } mit 



b) Furjede X* -Transition entsprechend a gilt r f < f . 
Beweis: Teil a. Es wird gezeigt, daB a fiir 

erfiillt ist. Nach (3.3) mufi zunachst 



(Q,r)^( q ',f') (3.4) 

erfiillt sein. An der Definition von $ erkennt man, daB 

f>r =► $(5,t,(q,f),i) = $(5,t,(q,T),i) 

V ($(6,t,(q,f),i) = (I.tt,) A$(<M,fa,r),») = (0,0)) (3.5) 

und damit auf jeden Fall *(<S, (g, f), z) > $(5, t, (q, r),i). Hieraus folgt die Bedingung 
*(<>> *, (?, r), t) > (0, 0) aus (3.2). q' hangt nicht von f ab, somit gilt (3.4). 

Die Bedingungen fiir t x , t 2 in (3.3) sind fiir t\ , £ 2 auch erfiillt wegen t\ <t 1 <t 2 <t 2 . 

Nun zur Disjunktion in der vorletzten Zeile von (3.3): Mit P = 7 $(6,t' 2 , (q,f),i) gilt 
f > (9, r),i)<P <P (vgl. (3.5)). Problematisch ist also einzig der Fall 

(9, f),0 = (W) A$($%*,fa,r),t) = (0,0). 

Dann ist aber fur ^ = wegen (3.2) stets $(5*, f, (<?, f ), «) = P und somit die linke Seite 
der Disjunktion giiltig, fiir ^. # ^ 5 ergibt sich t, ( g> f ), i) = (1, < (2, 0). 

Bleibt die letzte Zeile von (3.3) zu betrachten: Die Ungleichung links bleibt wegen (3 5) auch 
fur f erfiillt. Aus $(<**, f , (g, r )) = 0 folgt nach (3.1): 

t < T(i> s ) 2 < t (ip s ) 2 , 

also <f>{(5*, t*, (q, f )) = 0. Damit ist a gezeigt. : . 

b ist eine direkte Folgerung aus der Berechnungsvorschrift fiir die resultierenden Zeitgeber- 
zustande r' und f in (3.2): Wegen t x < t v A i 2 > t 2 folgt 

[ti + Qs{x)i, i 2 + ds{x) 2 ] D [ii + 0${x)i,t 2 + 0s(x) 2 ] 

und damit b. n 

Mit diesem Lemma laBt sich nun der entscheidende Satz dieses Abschnitts, namlich die Be- 
rechenbarkeit der einfachen Spuranalyse gegeniiber einer OTEFSM-Spezifikation, beweisen. 
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Theorem 2 Die einfache Spuranalyse gegenuber einer OTEFSM-Spezifikation ist berechen- 
bar, sofern der Ausgangszustand s° bekannt ist und die Spezifihation keine unendlich langen 
Transitionssequenzen ohne Ein- und Ausgaben erlaubt 

Bemerkung: Da beobachtete Ein-/Ausgabefolgen naturgemaB stets endlich sind, konnen die 
in der Spuranalyse betrachteten Zeiten t fur mogliche Schaltzeitpunkte von Transitionen stets 
anhand dem Ende t E der Beobachtungsdauer nach oben beschrankt werden, t < t E - Der 
folgende Beweis macht von dieser Schranke Gebrauch. 

Beweis: Zu einer zulassigen Beobachtung (7, O) mit Beobachtungsende t E existiert eine er- 
klarende Aktionsfolge A gemaB (3.3). Es ist zu zeigen, daB diese Existenz algorithmisch ent- 
scheidbar ist. Es wird gezeigt, daB zu jedem solchen A eine eindeutig bestimmte normalisierte 
Aktionsfolge An existiert, die (7, O) erklart, und daB die Menge aller zur Beobachtung (7, 0) 
passenden normalisierten Aktionsfolgen endlich und berechenbar ist. Folglich ist die einfache 
Spuranalyse berechenbar durch die erschopfende Suche nach einer solchen normalisierten 
Aktionsfolge A n . 

Sei A gegeben, sei ferner 

(l,ti),(0,t 0 ) 

einer der Zustandsiibergange in A (vgl. (3.3)). Es gilt 
3ii,i 2 € N (ti < t 2 < t E A 

[iuh] = |J {[h,t 2 ] (q,r),ti4 '■ ' > W,?),tut*\), (3.6) 

in Worten: Zu jedem Zustandsubergang existiert ein groBtes umhullendes Schaltzeitinter- 
vall ? das mit der zugehorigen Beobachtung und dem resultierenden einfachen Zustand q 1 ver- 
traglich ist. Dies folgt daraus, daB in (3.3) 

a) die fur t[ und f 2 geltenden Schranken fiber die Intervallbedingung t[ < t f 2 hinaus nicht 
von der Wahl der jeweils anderen Zeit abhangen, 

b) auBer t[ < t ! 2 fur t[ nur untere ? fur t f 2 nur obere Schranken existieren und 

c) alle Schranken nach b <- bzw. >-Bedingungen sind und damit abgeschlossene Inter- 
valle bilden. 

Die Forderung (9, r) -> r') in (3.3) erfullt a, b und c 3 weil ^ monoton steigend in t ist und 
(3.2) daher hochstens eine kleinste untere Schranke fur t[ liefert. t\ kommt ansonsten nur noch 
im Zusammenhang mit den unteren Schranken U und t Q - d 6 in (3.3) vor; auch dies ist mit a, b, 
c konform. t 2 ist nach Voraussetzung durch t E sowie ggf. durch t 0 bzw. U einschlieBlich nach 
oben beschrankt; der Fall t[ = t 2 = U fur eingabeabhangige Transitionen liefert auch keine 
neue untere Schranke fur ^ auBer Die letzte Zeile von (3.3) kann nur einschlieBliche obere 
Schranken liefern in Form der Sprungstellen von da $ nicht in Abhangigkeit von t* den 
Wert (2, 0) erreichen oder uberschreiten kann. In der vorletzten Zeile von (3.3) liegt im Fall 
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■ P > (2 Oj.entsprechend keinerlei Zeitabhangigkeit vor. Fur P < (2, 0) ist im Fall ti s . ^ 
die Zeit t ebenfalls unerheblich, weil jede andere Transition mit Prioritat von (2; 0) oder mehr 
das Schalten von 6 ohnehin ausschlieBt. Fur V*. = ^ schlieBlich sind die Sprungstellen von 
p ^ die ^rghchenen Transitionen jeweils identisch, also spielt t' 2 fur diese Zeile in keinem 
Fall eine Rolle. Dies beschlieBt den Nachweis von a, b, c und mithin von (3.6). 
Das Intervall t 2 ] ist aufgrund seiner Eigenschaften eindeutig bestimmt. Aufgrund von Lem- 
ma 1 kann eme normalisierte Aktionsfolge A n gebildet werden, indem diese groBten Schalt- 
• zeitintervalle nach (3.6) iterativ von links nach rechts fur die ursprunglichen Intervalle in A 
substiruiert werden, denn Lemma 1 garantiert die Zulassigkeit der Schaltschritte trotz der er- 
forderhchen „Verbreiterung" der Zeitgeberablaufintervalle in den r k . A n ist 

1. arihand von A eindeutig bestimmt, 

2. stellt eine giiltige A*-Expansion dar und ■ 

3. erklart ebenfalls die Beobachtung (I, O). 

Da die Zwischenzustande {q\r*) durch die Funktionen a s und 9 S deterministisch bestimmt 
Z fnVLw ? 1 beobachteten Sy™™* ^dlich sind und die Anzahl der Transitio- 
u n? S y mb °\ nach Voraussetzung endlich ist, sind alle normalisierten Aktionsfolgen, die^ 
der OT^vTf ^° Mte ";. auf f Hilfe einer erschopfenden Suche im Zustandsraum 

^f F ^ A ^ e erk arende Aktionsfolge A existiert genau dann, wenn eine erklarende 
normahsierte-Aktionsfolge A n gefunden wird. - □ 

Shnfn fff?. ^ V ! rgHchen W6rden mit dem Unberechenbarkeitsresultat von Ab- 
h^n t v ein gefuhrte Voraussetzung, da/3 keine unendlich langen unbeobacht- 

sZneTTtTtT^^T' entSpriCht ° ben d6r Annahme ' daB die Protokollma- 
schine A ftir jede behebige Emgabe iiber den unbeobachteten Kanal halt. Zeiten wurden in 

die OTFFtM P i m * TT" entscheidende Unterschied besteht folglich darin, daB 
die OTEFSM ohne unbeobachteten Eingabekanal modelliert ist, die Projektion der Protokoll- 
TtT *l „ be ° b ^ htetes Verhalten also Teil des Entwurfs der OTEFSM-Spezinkation 
Slve^af i S Pr ° jekti0n dneS Pr ° t0k0llS P nicht ohne Verfafschung des 

Lrechenb^ 8 ^ ' * ^ V ° Mndi S e ™ d korrekte Spuranalyse von P daher nicht 

3.2.2 Unsicherheitsbehaftete Spuranalyse 

"^i^^? S p hWi T ^ 6infaChe S ^ a ^ ei ^s OTEFSM-Modells noch 
S 1 ?; f die E ^schrankung, daB der Anfangszustand So bekannt sein muB (vgl. Ab- 

!chSl; k frVT u ? dC Schritt ' d6r daS ^^M-Analyseverfahren von dieser Ein- 
schrankung befreit, besteht dann, bei der Spuranalyse unsicherheitsbehaftete Zustandsinfor- 
manonen verarbeiten zu konnen. Dies bedeutet, daB der Suchalgorithmus L Zustandsraum so 
verallgemeinert wird, daB er nicht mehr auf einzelnen Werten von Zustandvariablen 00™ 
sondern auf Teilmengen ihrer Werteb ereiche. Dieser Abschnitt erlautert die Erweitemng der 

zu s^^U^fSS— 6 " in ^ ******** bestir 
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einfachen Spuranalyse auf die Verarbeitung von Unsicherheit. Das resultierende Konzept heifit 
unsicherheitsbehaftete Spuranalyse und stellt eine Verallgemeinerung der bisher behandelten 
OTEFSM-Spuranalyse dar, die aus diesem Grund zur besseren Unterscheidung als einfache 
Spuranalyse bezeichnet wurde. 

Uberblick 

Fiir einen informellen Uberblick betrachte man einen Zustandsraum mit einem Variablenpaar 

(a, 6) € {0,1,..,255} 2 . 
Die Beschreibung des Anfangszustands lautet 

s° e (0:.255,0..255), 

eine genauere Aussage laBt sich ohne Kenntnis der Zustands- und Kommunikationshistorie 
nichtmachen. 

Sei nun 5 eine Kandidaten-Transition aus einer OTEFSM-Spezifikation. Angenommen, ihr 
Aktivierungspradikat e$ definiert eine zugehorige Ausgabenachricht a(x) mit x e {0, 255} 
und fordert a < x, und die Zustandstiberfuhmngsfunktion a$ bewirkt a <— a -\- 10; b <— 17. . 
Die nachste beobachtete Ausgabenachricht sei or(42). Kein Spuranalyseverfahren, das auf der 
direkten Ausfuhrung einer Referenzimplementierung basiert, kann mit diesen Informationen 
irgend etwas anfangen. 

Das FoZ/cwSM-Verfahren dagegen kann mit der Unsicherheit umgehen, die das geschilderte 
Szenario lafit: Es instantiiert das Aktivierungspradikat anhand der konkreten Eingabenachricht 
zu a < 42, schrankt dann die vorliegende Beschreibung des Zustands s° auf diejenige Teil- 
menge ein, fur die 5 aktiviert ist, und wendet S schlieBlich spekulativ auf diese intermediare 
Zustandsbeschreibung an: 

s° e (0..255, 0..255) ^ s' e (0..41, 0..255) a ^+ 10 -^ 17 ) 8 i e ( 10: . 5 l, 17) . 

5 1 ist — nachdem lediglich eine einzige Transition betrachtet wurde — bereits eine viel weniger 
unsichere Beschreibung des Protokollzustands, als es s° gewesen ist. Naturlich miissen alle 
anderen Transitionen der Spezifikation ebenfalls fur eine spekulative Ausfuhrung in Betracht 
gezogen werden. Viele davon werden normalerweise in dem — nichts ausschlieBenden — Zu- 
stand s 0 ebenfalls aktiviert sein. Dies gilt insbesondere fur sdmtliche Transitionen, die nicht 
mit Kommunikationsprimitiven verknupft sind. 

Allerdings kann diese Form der unsicherheitsbehafteten Zustandsexpansion nicht in einer 
vollstandigen und korrekten Art und Weise durchgefuhrt werden, d. h. mit dem Resultat 
,pass" genau dann, wenn eine zulassige-Aktionsfolge zu einer Beobachtung existiert. Dies 
liegt an Speicherplatz- und Zeitbeschrankungen im Zusammenhang mit der Tatsache, daB 
das Erfullbarkeitsproblem fur allgemeine boolesche Ausdriicke (SAT-Problem) nicht effizient 
berechenbar ist [HS78]. Aus diesem Grund erfolgt eine approximative Losung des unsicher- 
heitsbehafteten Spuranalyseproblems, wobei die folgenden beiden Bedingungen eingehalten 
werden: 
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.1. Keine zulassige Spur darf mit dem Urteil „fail" zuruckgewiesen werden. Das heifit, der 
AlgontHmus muB im Hinblick auf die Zuruckweisung vori Spureh wenigstens korrekt 
sein, wenn auch nicht unbedingt vollstandig. 

2. Sobald die Zustandsraumsuche einen „sicheren" Zwischenzustand erreicht hat soil der 
auf diesen Zeitpunkt folgende Teil der Analyse sowohl korrekt als auch vollstandig sein, 
d. h. alle spateren ProtokollverstoBe mit Sicherheit finden. 

Formate Definition 

Fur die formale Beschreibung der unsicherheitsbehafteten Spuranalyse muB zunachst ein Dar- 
stellungraum R fur den einfachen Zustandsraum Q der jeweiligen OTEFSM-Spezifikation 
ausgewahlt werden. Dieser Darstellungsraum ist die Menge der darstellbaren Teilmengen von 
Q. Er muB als Minimalanforderung erfiillen, daB wenigstens der vollstandig unsichere Zu- 
stand auf der einen Seite und samtliche vollstandig sicheren Zustande auf der anderen Seite 
darstellbar sind: 

i?CPQ\0 A Qe RAVqeQ({q} e R) (3 . 7 ) 

Die Menge der vollstandigen unsicherheitsbehafteten Zustandsbeschreibungen wird nun mit 
U bezeichnet: 

U = Rx(T^N 2 00 ) 

Fiir die weitere Beschreibung soli die Hilfsfunktion st : U -+ PS dazu dienen, urn. zu einer 
gegebenen unsicherheitsbehafteten Zustandsbeschreibung u = (r, r) die Menge aller sicheren 
vollstandigen Zustande zu liefern, die u einschlieBt, namlich 

st(r,r)^ {(q,T)\qer}. 

Die unsicherheitsbehaftete Spuranalyse kann nun beschrieben werden als eine Erweiterung 
von A* zu emer Relation (j,*, bei der U anstelle von S eingesetzt wird. Sie hat die Signatur 

M* C U x x A x (E 0 x N) 2 x U x N 2 . 

Mit der Abkiirzung 

v' = 7 Is' eS 3s e st(u) : s-t lt t 2 5 - > s', t[, t' 2 } 

fiir diejenigen Zustande, die von irgendeinem in u enthaltenen Zustand direkt erreichbar sind 
lautet die Definition von /i* in Pfeilnotation: 

h < t 2 A h < t[ < t' 2 - A t' 2 < t 0 < t[ + d A ^l4 t\ = t' 2 = ti. 
A st(u') D v' A . (|st(u)'| = l.=»'st(u') = v') ' (3.8) 
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In der unsicherheitsbehafteten Spuranalyse gilt eine Beobachtung genau dann als ziilassi- 
ge Spur des spezifizierten Protokolls, wenn eine nach (3.8) zulassige Folge von Zu- 
standslibergangen der Form 

u o Q o s - > u \ t \,t\ > . . . ► u\ t[,t l 2 

existiert, die genau die beobachteten Symbole mit den zutreffenden Zeitstempeln liest bzw. 
erzeugt, mit u° = (Q, Tx { (0, oo) }) als initiale Zustandsbeschreibung, die fur die vollstandige 
UngewiBheit uber den tatsachlichen Zustand beim Beobachtungsbeginn steht. 

Eigenschaften 

Die in Abschnitt 3.2.2 gestellten Anforderungen 1 und 2 an die unsicherheitsbehaftete Spur- 
analyse hinsichtlich Vollstandigkeit und Korrektheit werden nun in den Theoremen 3 und 4 
gezeigt. Theorem 3 befaSt sich mit der in Anforderung 1 ausgedriickten Korrektheitsbedin- 
gung. 

Theorem 3 Jede Beobachtung, die im Sinne der einfachen OTEFSM-Spuranalyse zuldssig 
ist, ist auch zuldssig im Sinne der unsicherheitsbehafteten OTEFSM-Spuranalyse. 

Beweis: Es genxigt zu zeigen, dafi fur jede A* -Expansion ein bei u° beginnender fj,*- 
Expansionspfad existiert, der zu der gleichen Beobachtung fuhrt. Der Beweis erfolgt durch 
vollstandige Induktion uber die Lange der Aktionsfolge. 

Als Induktionsannahme betrachte man einen Zustand s = (g, r) € 5 und eine diesen Zustand 
enthaltene unsicherheitsbehaftete Zustandsbeschreibung u = (r, r u ) E U, es gilt also q € 
r At < t u . Sei ferner 

(g,r),*i,t 2 — — ~, — f (9 , ) r , ) 5 ti,t / 2 

{i,ti)A<> t t 0 ) 

ein gemaB A* (3.3) giiltiger Zustandstlbergang. 

Aus Lemma 1 folgt, daB ein r f u > r f existiert, fur das auch der Ubergang 

(q,T u ) 9 t u t 2 — 7^ — + ^ 

(t,ti),(o,to) 

gtiltig ist. Nach Definition von /j,* existiert folglich ein giiltiger unsicherheitsbehafteten Zu- 
standsiibergang 

(r J r u ),ti,t 2 — — ~ f — + 
mit q 1 g r', womit der Induktionsschritt abgeschlossen ist. 

Weil das festgelegte u° fur die unsicherheitsbehaftete und jedes beliebige s° fur die einfache 
Spuranalyse die Induktionsannahme erfullen, folgt die Behauptung durch vollstandige Induk- 
tion. □ 

Theorem 4 driickt Anforderung 2 aus, die Vollstandigkeit der unsicherheitsbehafteten Spur- 
analyse nach einem sicheren Zwischenzustand. Unter Hinzunahme von Anforderung 1 ist dies 
gleichbedeutend mit der Aquivalenz von einfacher und unsicherheitsbehafteter Spuranalyse 
fur die Zeit nach dem sicheren Zwischenzustand. 
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Theorem 4 Einfache und unsicherheitsbehaftete Spuranalyse sind equivalent, wenn eine un- 

sicherheitsfreie Beschreibung des Initialzustands der Form s° = (q° f°) bzw. u° = (fa 0 } r°) 
gegeben ist. , 

Beweis: Wie ein Vergleich der Definitionen von ; A* und p? zeigt, geniigt es nachzuweisen, 
daB sichere Zustandsbeschreibungen von p* stets wieder in sichere Zustandsbeschreibungen 
expandiert werden. Formal ausgedriickt ist zu zeigen, daI3 \v'\ = 1 immer gilt, wenn l st(u)| = 
1. In diesem Fall sind p* und A* offensichtlich aquivalent. 

\v'\ = 1 gilt stets im Falle sicherer Ausgangszustande, weil der resultierende Zustand s eines 
Expansionsschrittes durch a s , fa und A eindeutig bestimmt ist, sofern die schaltende Transi- 
tion 6, das Schaltzeitmtervall und die beobachteten Interaktionen feststehen. □ 

werden ie6end ^ Berechenbarkeit d ? r "nsicherheitsbehafteten Spuranalyse gezeigt 

Theorem 5 Die unsicherheitsbehaftete Spuranalyse gegenuber einer OTEFSM-Spezifikation 
ist berechenbar, sofern die Spezifilcation keine unendlich langen Transitionssequenzen ohne 
Ein- und Ausgaben erlaubt. 

Beweisskizze; Dieser Beweis lauft sehr ahnlich wie derjenige des Theorems 2. Hier wird eine 
normahsierte Aktionsfolge gebildet, indem alle einfachen Zustande r k in den Zwischenschrit- 
ten auf r fc = Q <= R festgelegt und wiederum iterativ von links nach rechts die maximalen 
Schaltzeitintervalle substituiert werden, wie sie sich aus den Zeitgeberzustariden r k den Ein- 
tnttsintervallen [t*, t k 2 ] und den Zeitstempeln .**, t k a der ausgetauschten Symbole gemaB (3 3) 
ergeben. Nach Definition von ist die so erhaltene Folge A n zulassig. Sie ist eindeutig be- 
stimmt, weil insbesondere alle vorkommenden Zeitgeberzustande eindeutig bestimmt sind 
Sie erklart gleichfalls die Beobachtung wegen Teil b von Lemma 1. Also ist die Berechnung 
der unsicherheitsbehafteten Spuranalyse moglich durch die erschopfende Suche nach einer 
solchen normahsierten Aktionsfolge, die die Beobachtung erklart. □ 

3.3 Algorithmische Umsetzung 

^T'^^T beschreibt > wie die ^ v or definierte unsicherheitsbehaftete Spuranalyse im 
FoZ/owW-Verfahren in einem praktisch nutzbaren Analysealgorithmus realisiert worden ist 
Dazu wird erst auf die Konsequenzen aus Theorem 5 hinsichtlich der Konvergenz der Zu- 
standsbeschreibung und auf die operationale Behandlung der Unsicherheit eingegangen Es 
folgt erne Erlauterung des Kemalgorithmus fur die Zustandsexpansion. Danach wird darge- 
legt welche Suchstrategie fur die Suche im Zustandsraum zu bevorzugen ist, und wie man 
aus dem Suchbaum eme lineare Zustandsentwicklung erhalt. Ein weiterer Unterabschnitt be- 
schreibt die yerschiedenen Arten von Analysen, die aus dem Ergebnis der Spuranalyse gene- 
nert werden konnen. Letzter Punkt ist eine Beschreibung' des Datenmodells, das der Algorith- 
mus verwendet. 
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3.3.1 Behandlung der Unsicherheit 

Im Beweis von Theorem 5 wird deutlich, daB die Spezifikation der unsicherheitsbehafteten 
Spuranalyse sehr schwach ist: Als Beschreibung der einfachen Zustandsanteile q k geniigen 
im allgemeinen Obermengen der tatsachlich gemaB der einfachen Spuranalyse moglichen 
Zustande, so daft sich der Beweis mit Q als , Joker-Zustand" kushelfen kann. Die Spezifikation 
(3.8) erzwingt lediglich die Einhaltung der Zeitbedingungen und die korrekte Fortschreibung 
der Zeitgeberzustande r k . Dank dieses Freiraums fur Implementierungen der unsicherheits- 
behafteten Spuranalyse kann der Darstellungsraum R auch fur samtliche Zwischenschritte 
bei der Zustandsentwicklung verwendet werden, solange die Obermengenbedingung Beach- 
tung findet. Dadurch konnen auch komplexe Bedingungen fur den aktuellen Zustand, die sich 
im Laufe der Suche ergeben konnen, zum Preis des Verzichts auf Vollstandigkeit (vgl. Ab- 
schnitt 3.2.2) effizient behandelt werden. Allein die Wahl eines eingeschrankten Reprasen- 
tationsraums R fur die Zustandsmengen schlieBt die Vollstandigkeit schon deshalb aus, weil 
die exakte Menge der moglichen Folgezustande nach einer Transition — je nach Art dieser 
Transition — moglicherweise nicht reprasentierbar ist. 

Jede Implementierung der Spuranalyse muB bei jedem Entwicklungsschritt, der von einer uri- 
sicherheitsbehafteten Zustandsbeschreibung ausgeht, einen KompromiB irgendwo zwischen 
den exakten Folgezustanden und der unbestimmten Zustandsbeschreibung Q eingehen, einen 
KompromiB zwischen Genauigkeit und Effizienz. Ob und wie schnell die Beschreibung des 
aktuellen Zustands zu einem sicheren Zustand konvergiert, hangt dayon ab, wie die Implemen- 
tierung diesen Spielraum ausnutzt. Die Konvergenz kann jedenfalls nicht aus der Definition 
der unsicherheitsbehafteten Spuranalyse abgeleitet werden, sondern nur aus dem konkreten 
Analysatorentwurf fur ein konkretes Protokoll. 

Datentypen zur Modellierung der Unsicherheit 

Beim Fo/ZowSM-Verfahren wird der Darstellungsraum R nicht quasi elementweise entworfen, 
sondem ergibt sich, indem fur jede einzelne Zustandsvariable der Protokoll-EFSM einschlieB- 
lich des Basiszustands ein besonderer Datentyp eingesetzt wird, der Teilmengen des Werte- 
bereichs dieser Zustandsvariable gemaB der Minimalforderung (3.7) darstellen kann und die 
notigen Pradikate und Operatoren zur Verfugung stellt. Mit n Zustandsvariablen 

Vi : <2l,..-, Vn • Qn 

und den zugehorigen die Variablen der Unsicherheit modellierenden Datentypen 

U, : R x G lPQi, ...,'«„ iRnEPQn 

ergeben sich der Zustand g € Q und die Darstellung r € R zu 



mit der Besonderheit, daB dieser Darstellungsraum keinerlei Abhangigkeiten zwischen den 
Werten verschiedener Zustandsvariablen zu modellieren erlaubt — die Zustandsbeschreibung 



q = (v u v n ) 
r = (u u ...,u n ) 



Q = Q a x ... x Q n 

R = R\ X ... X Rn 



q = (l,2)Vg= (2,1) 
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Jcarm nur ungenau dargestellt werden als - 

• '. r = (1...2, 1...2). 

Urn verschiedene Anforderungen erfullen zu konnen, werden fur die iiblichen Grunddaten- 
typen jeweils mehrere Reprasentationsdatentypen bereitgehalten, die sich in der Darstel- 
lungsgenauigkeit unterscheiden. Dazu ein Beispiel: Eine Zustandsvariable mit Wertebereich 
0, 1, . . . , 255 (ein Oktett) laBt sich etwa einerseits darstellen durch eine ganzzahlige GroBe, 
die entweder einen bestimmten Wert der Zustandsvariable annimmt oder einen ausgezeichne- 
ten Wert (vielleicht -1) fur den Fall unbekannt, d. h. den vollstandigen Wertebereich. Dies 
ist genau die Minimalldsung gemaB (3.7). Andererseits konnte man auch ein Paar (a, b) von 
ganzen Zahlen verwenden, die ein Intervall [a, b] beschreiben. Einzelwerte x e 0, 1, . '. . , 255 
werden dann durch a = b = x dargestellt, die vollstandige Unsicherheit durch (0, 255).' Der 
Extremfall in Richtung maximaler Genauigkeit ware eine vollstandige Teilmengenreprasenta- 
tion, etwa durch einen 256-stelligen Bitvektor. Wahrend die ersten beiden Falle geeignet sind, 
beispielsweise Sequenznummern mit groBem Wertebereich platzsparend darzustellen, bietet 
sich die dritte Variante z. B. an, urn den ftir Protokollprozeduren entscheidenden Basiszustand, 
fiir den es nur eine iiberschaubare Zahl von Moglichkeiten gibt, ohne Genauigkeitsverlust zu 
modellieren. 

Tabelle 3.1 stellt die beim Fo//owSM-Prototyp verfugbaren Datentypen fur Zustandsvariablen 
dar. In der Spalte Name, Parameter sind der jeweilige Datentyp benannt und ggf. seine Pa- 
rameter spezifiziert, von denen der Wertebereich der modellierten Zustandsvariable abhangt 
Die Spalte Wertebereich gibt diesen Wertebereich Q der Zustandsvariablen an. In der Spalte 
Darstellung stehen die Variablen, die der jeweilige Datentyp intern zur Darstellung verwendet 
und die damit einen RiickschluB auf den Speicherplatzbedarf einer entsprechend modellier- 
ten Zustandsvariable zulassen. In der Spalte Semantik schlieBlich ist vermerkt, wie sich die 
reprasentierte Zustandsteilmenge aus der Darstellung ergibt. 

Mit diesen fiinf Datentypen sind die wichtigsten skalaren ZustandsgroBen in Kommunikati- 
onsprotokollen abgedeckt. Die Datentypen SET und LSET unterscheiden sich nicht funktio- 
nal, LSET bietet lediglich eine effizientere Implementierung fur Falle, in denen der reprasen- 
tierende Bitvektor in einer einzelnen ganzzahligen Variable abgelegt werden kann (32 Bits). 
Die Zustandsvariablen mit einem Wertebereich .Jntervall der ganzen Zahlen" der Form 
{L; U} werden als Ringintervall aufgefaBt, was im Fall L = 0 der Restklassenarithme- 
fak modulo U + 1 entspricht. Figur A. 14 verdeutlicht diese Eigenschaft fur das Beispiel 
L - 10, U = 21. Fiir Protokolle wird die Restklassenarithmetik haufig benotigt, da Se- 
quenznummern typischerweise in dieser Form interpretiert werden (z. B. im SSCOP-Protokoll 
[IT94a]). Formal ist die Arithmetik auf den Ringintervallen folgendermafien definiert: 

a< L ,ub g.d.w. 0<b-a< U ~ L + 1 V q-b> U ~ L + 1 

2 2 

; a> LiU b g.d.w. 0<a-6<^±l v6-a>^±tl 

a+ L ,ub = -L + ({a + b- L) mod (U - L + 1)) 

a - L ,u b . = L + ((a - b - L) mod (U — L + 1)) 
. . a,be{L,...,U}; L,UeZ 
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Wahrend die Definition der Addition und Subtraktion unmittelbar einsichtig sind, muBte fur 
die Vergleiche — als einzig mogliche Festlegung ohne Kenntnis der jeweiligen Semantik der 
Werte — eine Links- bzw. Rechts-von-Regel im Sinne eines Uhrzeigers verwendet werden. 
Diese Interpretation liefert zumindest dann das erwartete Ergebnis, wenn die verglichenen 
Werte relativ zur IntervallgroBe „nahe beieinandei" liegen — namlich bis hin zur halben Inter- 
vallgroBe. 

Operationen und Pradikate 

Die jeweilige Protokollspezifikation enthalt Pradikate und Operationen auf den Zustandsva- 
riablen des Protokollautomaten. Diese Pradikate und Operationen miissen beim FollowSM- 
Verfahren auf Objekte der hier vorgestellten Datentypen angewandt werden. Dies fiihrt, wie 
in Abschnitt 3.2.2 beispielhaft ausgefuhrt, zu Anderungen, insbesondere zu Einschrankungen 
der Wertemenge, die aktuell fur die Belegung einer Zustandsvariable noch in Frage kommt. 
Die Operationen auf unsicherheitsbehafteten Zustandsvariablen sind damit erheblich komple- 
xer als die auf den Zustandsvariablen in der Protokollspezifikation, die zu jedem Zeitpunkt 
ja mit genau einen einzelnen (sicheren) Wert aus ihrem Wertebereich belegt sind. Der ent- 
scheidende Unterschied ist, daB auch die Auswertung eines Pradikats P auf einer unsicher- 
heitsbehafteten Zustandsbeschreibung r e R zu einer neuen Zustandsbeschreibung r' iuhrt, 
namlich zu derjenigen Teilmenge von r, fur deren Elemente das fragliche Pradikat erfullt ist. 
Man kann also ein unsicherheitsbezogenes Pradikat P u aus P ableiten als eine Funktion auf 
der unsicherheitsbehafteten Zustandsbeschreibung: 

r' = P u {r)^{qer\P{q)} 

Die Obermengen-Bedingung ist wieder eine Folge der eingeschrankten Reprasentierbarkeit. 
Das Ergebnis ,/alsch" eines konventionellen Pradikats ist aquivalent zu r f = 0. Nachdem 
ein Pradikat dergestalt ausgewertet wurde und „wahi* t ergeben hat, d. h. eine nichtleere re- 
sultierende Zustandsbeschreibung r ; , miissen alle nachfolgenden Operationen, die gemaB der 
Protokollspezifikation von der Giiltigkeit der mit P modellierten Bedingung abhangen, auf 
r' operieren, denn sie sind nur dann moglicherweise zulassig, wenn der tatsdchliche aktuelle 
Zustand innerhalb der Zustandsmenge r' liegt. 

Im folgenden werden die wesentlichen Operationen auf den Unsicherheit modellieren- 
den Datentypen aufgelistet. Das Symbol Q steht dabei immer fur den Zustandsvariablen- 
Wertebereich und das Symbol R fur den Darstellungsraum des jeweiligen Datentypen. Fur 
die angegebenen Spezifikationen wird aus Vereinfachungsgriinden 

R 0 d ^ RU® 

verwendet, um mit Hilfe der leeren Wertemenge 0 die Nichterfullung eines Pradikats aus- 
drucken zu konnen. Man beachte, daB die leere Menge mit den Datentypen an sich nicht 
reprasentierbar sein muB, weil sie einem „unmoglichen" Zustand entspricht und ein solcher 
in keinem Fall weiterverarbeitet zu werden braucht. Der min-Operator auf einer Menge von 
Mengen bezeichnet in der folgenden Auflistung jeweils eine Menge mit der kleinsten Kardi- 
nalitat. 
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• Test auf Gleichheit mit einem Wert b 

Operation: eq : R x Q -> Rq 

Betrifft: BOOL, INT, RANGE, SET, LSET 

Spezifikation: eq(a, b) = {b} 

• Test aufGleicbiieit2weier Zustandsvariablen a, 6 

Operation: eq : R x R -> Rq x Rq 

Betrifft: BOOL, INT, RANGE, SET, LSET 

Spezifikation: eq(a, 6) = (a', b') 

a' = b' = min{r € R\r D a(~)b} 

• Test auf „wahi" 

Operation: tr : R Rq 
Betrifft: BOOL 
Spezifikation: tr(a) = a n W 

Test auf „falsch" 

Operation: fl : R ->. 
Betrifft: BOOL 
Spezifikation: tr(a) = a n F 

Test auf ,Jcleiner als" Wert b 

Operation: It : R x Q ->• Rq 
Betrifft: INT, RANGE, SET, LSET 

Spezifikation: lt(a, b) = min{r € R\r D {x e a\x < b}} 

Kleiner-als-Relation zweier Zustandsvariablen a, b 

Operation: It : R x R -» Rq x Rq 

Betrifft: INT, RANGE, SET, LSET 

Spezifikation: lt(a, b) = (a', V) 

a' = min{r € R\r D {x e a\3y eb»x < y}} 
V = min{r e R\r D {y e b\3x ea»x < y}} 

Test auf ,Jdeiner oder gleich" Wert 6 

Operation: le : R x Q Rq 
Betrifft: INT, RANGE, SET, LSET 

Spezifikation: le(a, b) = min{r e R\r D {x e a\x < b}} 

Kleiner-oder-gleich-Relation zweier Zustandsvariablen a, b 
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Operation: le : R x R — >> Rq x Rq 

Betriffi: INT, RANGE, SET, LSET 

Spezifikation: le(a, b) = (a', 6') 

a' = min{r E i?|r D {x 6 a\3y € b • x < y}} 
b r = min{r € i?|r D {y E 6|3x E a • x < y}} 

• Testauf „grofierals" Wert b 

Operation: gt : R x Q Rq 

Betrifft: INT, RANGE, SET, LSET 

Spezifikation: gt(a, b) = min{r E #|r a|x > 6}} 

• GroBer-als-Relation zweier Zustandsvariablen a, 6 

Operation: gt:jRx J R^i2 0 x J R 0 

Betrifft: INT, RANGE, SET, LSET 

Spezifikation: gt(a, b) = (a', 6') 

a' = min{r E i?|r 5 € a|3y E 6 • a; > y}} 
b f = min{r E i?|r D {y E 6|3;r E a • x > y}} 

• Test auf „grdBer oder gleich" Wert 6 

Operation: ge : R x Q — > Rq 

Betriffi: INT, RANGE, SET, LSET 

Spezifikation: ge(a, b) = min{r E -R|r D {a: E a|x > 6}} 

• GroBer-oder-gleich-Relation zweier Zustandsvariablen a, 6 

Operation: ge : R x i? — » i? x Rq 

Betrifft: INT, RANGE, SET, LSET 

Spezifikation: ge(a, b) — (a' 5 6') 

a' = min{r E i2|r Z> {x E a|3y E b • x > y}} 
6' = min{r E i?jr D {y E 6|3x E a • a: > y}} 

• Addition eines Wertes 6 

Operation: + : i? x Q — > R 
Betrifft: INT, RANGE, SET, LSET 

Spezifikation: a + b = min{r E i?|r D {2 E Q|3x E a • z = x + 6}} 

• Addition zweier Zustandsvariablen a, 6 



Operation: 

Betrifft: 

Spezifikation: 



+ :RxR-+R 

INT, RANGE, SET, LSET 

a + 6 = min{r E -R|r D" {z E <2|3x £ a,y € b • z 



= x + y}} 
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Subtraktion eines Wertes b 

Operation: + :RxQ — > R, 
Betrifft: INT, RANGE, SET, LSET 

Spezifikation: a — b = a + (—b) 

Subtraktion zweier Zustandsvariablen a, b 

Operation: - : R x R -» R 
Betrifft: INT, RANGE, SET, LSET 

Spezifikation: a - b = min{r € R\r D {z € Q\3x G a,y G b • z = x - y}} 

Mengenrelation zweier Zustandsvariablen a, b 

Operation: &8z : R x R ~± {id, sub, sup, ov, dis} 
Betrifft: BOOL, INT, RANGE, SET, LSET 

id wenn a = b 



Spezifikation: ahSzb = < 



sub wenn a C b 

sup wenn a D b 

ov wenn anb^OAagftAag^ 

dis wenn a Pi 6 = 0 



Die Abkurzungen stehen fur identical (identisch), subset (echte Teilmenge), superset 
(echte Obermenge), overlapping (uberlappend) und disjoint (disjunkt). 

• Zustandsvereinigung zweier Zustandsvariablen a, b 

Operation: | : R x R R 

Betrifft: BOOL, INT, RANGE, SET, LSET 

Spezifikation: a\b = min{r e R\r DaU&} 

Es ist zu beachten, daB fur die Datentypen RANGE, SET und LSET die Operatoren <,>,+, - 
im Sinne der weiter oben spezifizierten Ringarithmetik <l,u, >l>u, +l,u, ~l,u zu interpretie- 
ren sind. 

Eine nur auf den ersten Blick irritierende Konsequenz aus der Auswertung von Pradikaten 
unter Unsicherheit ist die Tatsache, daB das logische Gesetz 

a A a = F 

nicht mehr gilt: Angenommen, a = {17, 42} e RANGE wird mit den Pradikaten a < 30 
und a > 30 untersucht. In beiden Fallen lautet das Ergebnis „wahi' 6 , mit den resultierenden 
eingeschrankten Zustandsbeschreibungen a = {17, 30} im ersten und a = {31, 42} im 
zweiten Fall. Anschaulich bedeutet dies, daB angesichts der gegebenen Zustandsbeschreibung 
in der Pxotokoll-Implementierung jedes der beiden Pradikate als „wahi* c ausgewertet werden 
konnte. Daher mussen fur das nachfolgende Protokollverhalten auch beide Alternatives der 
,ja"- und der „nein"-Zweig der Fallunterscheidung, gleichberechtigt als in Frage kommendes 
korrektes Verhalten in Betracht gezogen werden. 
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Logische Ausdriicke 

Ebenfalls komplizierter als in der konventionellen Auswertung von Bedingnngen zeigt sich 
die Behandlung von Konjunktionen und Disjunktionen mehrerer Einzelpradikate. Zur Diskus- 
sion dieses Sachverhalts wird zunachst folgende Schreibweise eingeftihrt fur die Anwendung 
eines Pradikats P auf eine Zustandsbeschreibung r: 



wobei diejenige bzw. diejenigen Zustandsvariablen in r, auf die P Bezug nimmt, in r f durch 
die resultierenden eingeschrankten Zustandsmengen o! und ggf. b 1 wie in der Aufstellung der 
Operationen auf unsicherheitsbehafteten Zustandsvariablen ersetzt werden. Fiir die effiziente 
operationale Auswertung von Konjunktionen und Disjunktionen ergeben sich folgende Ver- 
fahren: 

• Konjunktion 

Konjunktionen konnen durch sequentielle Auswertung der Argumentpradikate berech- 



Diese Regel erlaubt eine sehr effiziente Berechnung von Konjunktionen mit beliebig 
vielen Termen, ohne besondere Eigenschaften dieser Terme beriicksichtigen zu mussen. 

• Disjunktion 

— Im allgemeinen Fall mussen bei der Berechnung von Disjunktionen die erfullen- 
den Zustandsteilmengen wieder vereinigt werden: 



Die zusatzliche Mengenvereinigung wird hier mittels der | -Operation auf den Da- 
tentypen fur die einzelnen Zustandsvariablen realisiert. Sie erzeugt bei Pradikaten, 
die sich auf unterschiedliche Zustandsvariablen beziehen, Ungenauigkeiten auf- 
grund der bereits diskutierten Kreuzprodiiktstruktur des Darstellungsraums. Dazu 
ein Beispiel: 



— Wenn von vornherein bekannt ist, daB sich die Terme einer Disjunktion auf ver- 
schiedene Zustandsvariablen beziehen, kann daher das folgende vereinfachte Be- 
rechnungsschema verwendet werden: 



P : i? Rq 



P(r) = r' 



net werden: 



(Pr AP 2 )(r) = (P 2 oP 1 )(r) = P 2 (Px(r)) 



(PiVP 2 )(r)DP 1 (r)UP 2 (r) 



(a = 7 V b = 9)(a = 1...9, b = 8.. .10) 
= (a= 1..9,6 = 8...10) 

D (a = 7) (a = 1...9, b = 8.. .10) U (b = 9)(a = 1...9, b = 8... 10) 
= (o = 7,6 = 8...10)U(o='l...9 > 6 = 9) 




(r wenn Pi (r) #0VP 2 (r) ^ 0 
1 0 sonst 
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3.3.2 Kernalgorithmus 

In diesem Abschnitt wird der Kernalgorithmus der Zustandsexpansion beim FollowSM- 
Verfahren vorgestellt, d. h. die Durchfuhrung der einzelnen Suchschritte im Zustandsraum. 

Bisher wurden nur Manipulationen von einzelnen Zustandsbeschreibungen der Form r = 
(u u Un) behandelt, die aus je einem Unsicherheit modellierenden Zustandsvariablenobjekt 
pro Zustandsvariable der Protokoll-EFSM bestehen (vgl. Abschnitt 3.3.1). Fur solche Zu- 
standsbeschreibungen, abgekurzt mit Z, Z', Z\ wird im folgenden der Einfachheit halber nur 
noch der Begriff Zustand verwendet, obwohl ein solcher Zustand stets fur eine Menge von 
Zustanden z der Protokoll-EFSM steht. Ein Zustand Z enthalt insgesamt: 

• eine reprasentierbare Teilmenge r e R des Zustandsraums der Protokoll-EFSM, 

• einen Zeitgeberzustand r der OTEFSM, der ja - durch die Intervalle fur 
Zeitgeberablaufe - von Natur aus ebenfalls Unsicherheit beinhaltet, 

• das Eintrittsintervall t 0 ..ti dieses Zustands, gleichbedeutend mit dem Intervall mogli- 
cher Schaltzeitpunkte der vorangegangenen Transition und 

• die Indizes % und o der nachsten noch nicht verarbeiteten Eingabe- bzw. Ausgabe-PDU. 

In den unten dargestellten Algorithmen wird vereinfachend Z als die reprasentierte Zustands- 
menge verwendet. 

Die Beweise zu den Theoremen 2 und 5 zeigen, daB die Suche im Zustandsraum auf die ele- 
mentare Aktion hinauslauft, zu einem gegebenen Zustand Z alle Transitionen zu ermitteln, 
die aufgrund von Z und den jeweils nachsten noch nicht zugeordneten Kommunikationspri- 
mitiven zulassig sind, und alle sich daraus ergebenden Folgezustande zu berechnen. Die Spe- 
zifikation (3.8) der unsicherheitsbehafteten Spuranalyse erlaubt nicht, diese Folgezustande in 
einem einzelnen — unsicherheitsbehafteten -Zustand zusammenzufassen, weil die i. a. einge- 
schrankte Reprasentierbarkeit dabei zu Ungenauigkeiten fuhren konnte, die von der Spezifi- 
kation nicht gedeckt sind. Ungenauigkeiten in Form der Obermengenbedingung sind ja nur 
bei der Ermittlung des Folgezustands im Rahmen der Anwendung einer Transition zulassig. 

Daher werden in einem Durchlauf der Prozedur Entwickle, die einen elementaren Suchschritt 
modelliert, alle fur den unmittelbar nachsten Schaltvorgang in Frage kommenden Transitio- 
nen ermittelt und auf die vorliegende Zustandsbeschreibung Z angewandt. Die resultierenden 
Zustandsbeschreibungen werden in die Liste M eingetragen. Hier folgt der Algorithmus von 
Entwickle als Pseudo-Code. Dabei wird die Abkurzung P T (z, i) ftir die Vorbedingung fur das 
Schalten einer Transition T verwendet, formal: ' 

P T (z, i) g.d.w. 3t($(r, t, z, i) > (0, 0)) 



Prozedur EntwicklefZ^iast) 
Z : Zustand 

^last : spatester Endzeitpunkt des Schrittes 
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unmittelbare Transitionen bearbeiten 
Z" <- Z 

Fur T E A|^r = -L A 7r T > 0 A er(2) 7^ J_ mit absteigender Prioritat 
Wenn Prioritat kleiner a Is bei letzter T 
Z <- Z" 

Wenn Z = 0 Dann Fertig - Fall 1 

z'^{*ez|p r (z,j_)} 

Wenn Z' # 0 

FuhreAus(Z ; , T, t 0 , ^last) 

Z" ^- {2 E Z"|P:r(z, ±)} -- andere Transitionen blockiert 
Z Z" 

Wenn Z = 0 Dann Fertig -- Fall 1 

-- verspatete Transitionen bearbeiten 
Z" <r- Z 

Fur T E Alt/vp t^IA tz(tPt)2 < to m| t absteigender Prioritat 
Wenn Prioritat kleiner als bei letzter T 
Z<-Z" 

Wenn Z = 0 Dann Fertig — Fall 2 

z' £-{zez\p T (z,±)} 

Wenn Z ; ^ 0 

FuhreAus(Z 7 , T, t 0 , , 

Z" f - {z6 Z"\P T {z, ±)} - andere Transitionen blockiert 
Z <- Z" 

Wenn Z = 0 Dann Fertig - Fall 2 

— zeitabhangige und spontane Transitionen bearbeiten 
*out <— Zeit der nachsten Ausgabe-PDU 

t m <— mi^touts^last) 

Fur t e : tz{^t')2 aktivierter zeitabhangiger T" E A (aufsteigend) zzgl. t m 
t e sind die moglichen Obergrenzen fur den Schaltzeitpunkt 

Z' ^- {z E Z| keine nach A* hoher priorisierte Transition als T f aktiviert bis t e } 
Wenn Z 1 = 0 Dann Weiter 

-- zeitabhangige und spontane Transitionen fur Schalten bis t e untersuchen 
Fur T E A|(^ T ^1 A rziiprh < t e ) V 7r r = 0 
Z" <— {2 E Z f \eT(z,ipdu,opdu)} 
Wenn Z" # 0 

[to-^i] «— mogliche Ausfiihrungszeit fur T 
T ausfuhren 

Wenn T zeitabhangig Dann Zeitgeber zurucksetzen 

Z" ^- olt{Z", ipdu, opdu) 
Z".to to 
Z".*i <- ti 
M <- M U {Z"} 
Wenn t e Endzeit einer Transition 

z^{ze z\p T ,(z,±)} 
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Wenn Z = 0 Dann Fertig - Fall 4 

- Ausgabe- vor nachster Eingabe-PDU Sackgasse 
Wenn t m < t last Dann Zuruck — Fall 5 

Schrittende vor nachster Eingabe-PDU =^ diesen Zustand merken 
tin Zeit der nachsten Eingabe-PDU 
Wenn < t in 

M<-MU{Z} ; 

Zuruck 

-- eingabeabhangige Transitionen bearbeiten 
Z" «- Z 

Fur T € A|e r (2) ^ {_L} 

Wenn Prioritat kleiner als bei letzter T r 
Z<-Z" 

Wenn Z = 0 Dann Fertig Fall 3 

Z' {z e Z\Pr(z,ipdu)} 
Wenn Z' ^ 0 

* x Zeit der Eingabe-PDU 

FuhreAus(Z', T, t x ,t x ,t la£t ) 

Z" {z G Z"\P T (z,ipdu)} -- andere Transitionen blockiert 
Z <- Z" 

Wenn Z = 0 Dann Fertig - Fall 3 

— Option: Eingabe-PDU ignorieren, falls von keiner Transition gelesen 
Wenn Nicht Option ignoreJpdu Dann Fertig - Falle 6, 7 
Z.t 0 ,Z.ti <— Zeit der nachsten Eingabe-PDU 

Mf-Mu{Z} 

Ende von Entwickle 

Die Routine FuhreAus, die von Entwickle verwendet wird, falit die notigen Operationen zu- 
sammen, urn eine Transition T, deren Vorbedingung P T {Z,i) bereits gepriift wurde, aus- 
zufuhren, falls ihre Ausgabespezifikation e T zur nachsten beobachteten Ausgabe-PDU paBt: 



Prozedur FuhreAus(Z, T, opdu, ipdu) 
Z : Zustand 

T : Transition (Vorbedingung P T (Z,ipdu) erfullt) 

opdu : nachste Ausgabe-PDU 
ipdu : nachste Eingabe-PDU 

Z <~ {z e Z\er{z, ipdu, opdu)} 
Wenn Z ^ 0 

[*o»*i] <- mogliche Ausfuhrungszeit fiir T 

~ T ausfiihren . . 

Wenn T zeitabhangig Dann Zeitgeber zurucksetzen 
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Z <=~ OiT{Z^ipdu^opdu) . 
Z.to <— to 

Z.ti <r-h 

M <— M U {Z} 
Ende von FuhreAus 

Der Algorithmus berechnet alle moglichen Entwicklungsschritte fur jeweils maximale Schalt- 
zeitintervalle [to»*i]- Die relativ komplizierten Priorisierungsregelungen erfordern, daB die ak- 
tuelle Zustandsbeschreibung Z nach jeder Klasse gleichpriorisierter Transitionen um diejeni- 
gen elementaren Zustande z gekurzt wird, in denen ein Schaltvorgang erzwungen und die rest- 
lichen Transitionen dadurch blockiert werden. Besonders kompliziert gestaltet sich die Prio- 
ritatsauswertung fur zeitabhangige Transitionen, weil die Priorisierung nur unter zeitabhangi- 
gen Transitionen mit demselben ausldsenden Zeitgeber gilt und weil mit jedem Zeitgeberab- 
lauf eine neue Blockierungssituation eintritt, aber nur fur diejenigen Transitionen T und Ele- 
mentarzustande z, deren Aktivierungspradikat e T durch z erfullt wird. Daher mxissen fur un- 
terschiedliche Zustandsteilmengen u. U. unterschiedliche Schaltzeitintervalle fur zeitabhangi- 
ge und spontane Transitionen verarbeitet werden. 

Der Zeitpunkt t\^x begrenzt das betrachtete Zeitintervall nach oben, damit im in Ab- 
schnitt 2.2.1 geforderten „Online"-Betrieb keine Blockierung durch ausbleibende PDUs ein- 
treten kann: Wenn zur Zeit keine weiteren PDUs eingetroffen sind, wird der gerade ent- 
wickelte Zustand unverandert als „neue" Zustandsbeschreibung ubernommen. Dies ist formal 
unproblematisch, sofern t\^ x weiter in der Zukunft liegt als die maximale Ausgabeverzoge- 
rung d T samtlicher Transitionen. 

3.3.3 Suchstrategie 

Im letzten Abschnitt wurde die Berechnung eines einzelnen Suchschritts beschrieben. Da- 
bei hat noch keine Festlegung stattgefunden auf die zu verwendende Suchstrategie bei der 
Konstruktion des Zustandssuchbaums. Klassischerweise kommen hier einerseits die Tiefen- 
suche {depth-first search, DFS) und andererseits die Breitensuche (breadth-first search, BFS) 
in Frage. Diese Entwurfsentscheidung schlagt sich vordergrundig in der Auswahl des jeweils 
nachsten zu entwickelnden Zustands Z aus der Zustandsliste M nieder. 

In den Arbeiten [EvB95] und [BvBDS91] wird die Tiefensuche favorisiert, weil bei der Brei- 
tensuche alle noch nicht entwickelten Knoten des Suchbaums dieselbe Tiefe.im Baum haben 
und daher im Speicher aufbewahrt werden miissen. Bei der Tiefensuche geniigt es dagegen, 
den aktuell bearbeiteten Suchpfad zu speichern ab dem altesten Knoten, von dem aus noch ei- 
ne Verzweigung moglich ist (Riicksetzpunkt). Wenn dieser alteste Rxicksetzpunkt w.eit genug 
zuriickliegt, wird er ublicherweise geloscht, weil ein vollstandiges Scheitern des aktuell unter- 
suchten Zweiges heuristisch oder formal aufgrund der Protokolleigenschaften ausgeschlossen 
wird. Damit wird eine Aufwandsbegrenzung erreicht durch Abschneiden — hoffentlich — red- 
undanter Entwicklungspfade. 

Im FollowSM- System wird dagegen der Ansatz der Breitensuche verfolgt. Fiir diese Entwurfs- 
entscheidung sprechen — auch unter Beriicksichtung der genannten Argumente fur die Tiefen- 
suche — folgende Punkte: 
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, 1. Bei der Breitensuche. entspricht die Entwicklungsreihenfolge im wesentlichen der Ab- 
folge der beobachteten Ein- und Ausgabenachrichten. Daraus folgt eine hohe Lokalitat 
der Zugriffe auf die Nachrichtenfolge und die Moglichkeit, eintreffende Nachrichten 
sofort und endgiiltig zu verarbeiten. Es ist nicht wie bei der Tiefensuche erforderlich, 
Nachrichten zu speichern, urn beim Zuriickrollen der Suche bis zu einem alteren Ruck- 
setzpunkt die zugehorigen Nachrichten wieder zur Verfugung zu haben. Damit eignet 
sich die Breitensuche besonders gut fur den „Online"-Betrieb. 

2. Nur die Breitensuche erlaubt die Pfadvereinigung ohne Mehraufwand. FollowSM macht 
regen Gebrauch von der Moglichkeit, daB ein Protokollzustand z liber verschiedene 
Teilpfade der Zustandsentwicklung erreicht werden kann. Wann immer eine resultie- 
rende Zustandsbeschreibung Z 

(a) identisch (Z = Z f ) zu, 

(b) eine Verallgemeinerung {Z D Z f ) oder 

(c) eine Spezialisierung {Z C Z f ) 

einer schon erhaltenen Zustandsbeschreibung Z f ist, so braucht einer von beiden Pfaden 
nicht weiterentwickelt zu werden, weil seine Elementarzustande sonst doppelt unter- 
sucht wurden. Im den Fallen 2a und 2c entfallt Z, im Fall 2b wird Z* durch Z ersetzt. 
Diese Vorgehensweise ist in den Prozeduren Entwickle und FilhreAus in Abschnitt 3.3.2 
durch Terme der Form M U {Z} wiedergegeben. 

Die Pfadvereinigung reduziert den Rechen- und Speicheraufwand um Grofienordnun- 
gen, weil jedes der genannten Ereignisse einen ganzen Unterbaum im Suchbaum ab- 
schneidet. Figur A. 15 zeigt ein Beispiel, in dem sich der abgeschattet dargestellte Teil- 
baum durch eine einzige Pfadvereinigung als redundant herausstellt. Bei der Tiefen- 
suche ware die Pfadvereinigung nur moglich, wenn der gesamte Suchbaum ab dem 
altesten Riicksetztpunkt standig gespeichert bleibt - ein vom Speicheraufwand vollig 
unpraktikables Vorgehen. 

3. Man kann auf Heuristiken verzichten, die angeben, wie lange ein Rucksetzpunkt auf- 
gehoben werden mufi. Damit ist die Breitensuche auch das formal vollstandigere bzw. 
protokollunabhangige Verfahren. 

Naturlich sind der Rechen- und Speicheraufwand fur einen Suchbaum im schlimmsten Fall 
grundsatzlich exponentiell in der Suchtiefe, hier also in der Lange der beobachteten Nachrich- 
tensequenz. Fur FollowSM gilt jedoch, daB das jeweils vorliegende zu analysierende Protokoll 
dank der Pfadvereinigung eine faktische obere Schranke setzt fur die Anzahl der gleichzeitig 
zu speichemden alternativen Zustandsbeschreibungen. Mit dieser oberen Schranke, etwa m, 
ergeben sich dann: 

• ein in der Beobachtungslange linearer Aufwand fur die Rechenzeit, da pro Entwick- 
lungsschritt hochstens rn-mal Entwickle ausgefuhrt werden muB und m hochstens linear 
in die Ausfuhrungszeit von Entwickle eingeht (insbesondere beim Test auf redundante 
Zustande). ...... 

• ein konstanter Speicheraufwand von m Zustandsbeschreibungen. 
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Daraus ergibt sich als Fazit, daB die Breitensuche mit Pfadvereinigung der Tiefensuche in 
alien qualitativen und quantitativen Belangen iiberlegen ist. 

Die Realisierung der Breitensuche in der Prozedur Analysiere ist im folgenden skizziert. Die 
als Parameter iibergebene Zeit t tQ dient wieder zur Begrenzung des Entwicklungsintervalls vor. 
allem fur die „Online" -Analyse. Der Algorithmus zeigt auch das Kriterium fur das Erkennen 
eines Verhaltensfehlers: Wenn die Zustandsliste M nach einem Entwicklungsschritt leer ist, 
gibt es keinen Zustand mehr, der mit der Beobachtung nach MaBgabe des Protokolls vereinbar 
ist (vgl. Theoreme 3, 4 und 5). Es muB sich also — spatestens zum aktuellen Zeitpunkt der 
Entwicklung — ein fehlerhaftes Verhalten der beobachteten Instanz ereignet haben. 

Variablen: 

M : Zustandsliste 

Prozedur Analysiere(£ t o) 

t to : Soll-Ende des Analyse-Abschnitts 

Wiederhole 
Wenn M = 0 

M 4— Initialzustand zur Zeit Z.t\ ^ v 

Z <— Z f G M\Z'.t 0 minimal 
Abbruch Wenn Z.t 0 > t to 

M <— M — Z ^ . 

Eritwickle(Z, Z.t\ -h rfmax) 
Wenn M = 0 

Ausgabe: Verhaltensfehler (Fall 1..7) 

Ende von Analysiere 

Bei der Initialisierung der Zustandsliste M miissen im allgemeinen mehrere Zustandsobjekte 
Z eingetragen werden, weil zu jedem Z ja die Verweise auf die nachsten PDUs gehoren. Im 
OTEFSM-Konzept konnen Ausgaben ja mit gewisser Verspatung gegeniiber den Schaltereig- 
nissen beobachtet werden. Daher konnen alle Ausgaben, die zwischen dem Beobachtungsbe- 
ginn oder -neubeginn und dem Maximum d max der Ausgabeverzogerungen der Transitionen- 
beobachtet werden, 

4ax = max d T , 

von einem Schaltereignis vor dem Beobachtungsbeginn stammen. Ausgaben, fur die das gilt, 
mtissen ignoriert werden, damit nicht falschlicherweise Verhaltensfehler gemeldet werden. 
Figur A. 16 zeigt an einem Beispiel, wie sich dies auf die initiale Zustandsliste M auswirkt. 

3.3*4 Module und Unabhangigkeit 

Bisher war ausschlieBlich von der Spuranalyse einer einzelnen Protokoll-EFSM die Rede, 
modelliert durch eine einzelne OTEFSM. Meistens sind praktische Protokolle zwar im we- 
sentlichen mit einer einzelnen EFSM spezifiziert, in einer realen Implementierung arbeiten 
aber fast immer mehrere Protokoll-EFSMs nebeneinander. Denn 
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L Protokolle ab OSI-Schicht 3 (Netzwerkschicht) aufwarts konnen meist mehrere virtu- 
elle Verbindungen (connections) oder mehrere Sitzungen (sessions) unterhalten, wobei 
.. jede Verbindung oder Sitzung durch eine eigene EFSM beschrieben wird, und 

2. die Protokolle mehrerer iibereinanderliegender Schichten werden ebenfalls durch ge- 
trennte EFSMs modelliert. 

Um den FollowSM-An&lysator in diesen Fallen sinnvoll einsetzen zu konnen, muB er meh- 
rere unsicherheitsbehaftete OTEFSMs gleichzeitig analysieren konnen. Dies stellt keiner- 
lei zusatzliches Problem dar, weil die Zustande aller beteiligten OTEFSMs, wie in Ab- 
schnitt 3.33 dargestellt, in einer gemeinsamen Zustandsliste M verwaltet werden konnen, de- 
ren altester Eintrag im jeweils nachsten Suchschritt weiterentwickelt wird. Dasselbe Verfahren 
erlaubt auch, beide Endpunkte einer Kommunikationsverbindung gleichzeitig zu uberwachen, 
wodurch die in Abschnitt 2.2.1 begriindete Entscheidung fur eine beobachtete Instanz folgen- 
los bleibt. Die einzelnen OTEFSM-Instanzen mit separaten Zustandsbeschreibungen heiBen 
bei FollowSM, in Anlehnung an Estelle, Module. 

Allerdings ist die gleichzeitige Analyse mehrerer OTEFSMs nicht gleichwertig zu einem 
vollstandigen CEFSM-Modell (kommunizierende EFSMs, communicating EFSMs) wie z. B. 
in SDL [CCI87]: Dort kannjede EFSM mit jeder anderen der Spezifikation kommunizieren, 
wahrend in FollowSM alle OTEFSM-Instanzen unabhangig voneinander ausschlieBlich uber 
die beobachtete Kommunikationsstrecke Nachrichten austauschen. Figur A. 17 skizziert den 
Unterschied;* ■ 

Wesentliches Merkmal der Verwendung mehrerer Module in FollowSM ist deren zwahgslaufi- 
ge Unabhdngigkeit: Keine in einem Modul getroffene Zustandsentscheidung kann irgendeine 
Auswirkung haben auf Zustandsentscheidungen in anderen Modul en. Formal ausgedriickt ist 
die Menge der aufgrund der Unsicherheit moglichen Systemzustande zu jedem Zeitpunkt das 
Kreuzprodukt der moglichen Zustande jedes einzelnen Moduls. 

Beispiel: Im B-ISDN-Signalisierungsprotokoll Q.293 1 [IT94b] existieren genau ein System- 
prozeB je Implementierung und ein verbindungsspezifischer ProzeB je call reference. Der Sy- 
stemprozeB kann eine Operation ausfuhren, in der alle bestehenden Verbindungen abgebaut, 
d. h. alle verbindungsspezifischen Prozesse terminiert werden. Wenn der Erfolg einer solchen 
Operation vom Systemzustand abhangt, gibt es folgende Moglichkeiten: 

1. Der Abbau findet statt =^ alle Verbindungsprozesse terminieren. 

2. Der Abbau findet nicht statt => kein VerbindungsprozeB terminiert. 

Bei FollowSM kann diese Alles-oder-nichts-Entscheidung nicht realisiert werden, es muBte 
jedes verbindungsspezifische Modul selbst uber den eigenen Abbau entscheiden, was bei un- 
sicherer Zustandsinformation zu jeder denkbaren Kombination aus abgebauten und nicht nicht 
: abgebauten Einzelverbindungen fuhren konnte. 

Diese Unabhdngigkeitspramisse ftihrt also offenbar zu Ungenauigkeiten in der Modellierung. 
Allerdings bleibt die - dort nur pro Modul erhobene - Forderung aus Abschnitt 3.2.2 nach 
Korrektheit erflillt, weil bei Vernachlassigung moglicher Abhangigkeiten eventuell zu viele, 
- aber nie zu wenige Systemzustande betrachtet werden. AuBerdem ware ein Verzicht auf die 
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Unabhangigkeitspramisse mit einer nicht hinnehmbaren Erhohung des Zeit- und Speicherauf- 
wands verbunden: Jede Kombination zwischen moglichen Modulzustanden muBte als einzeln 
zu verarbeitender Systemzustand verwaltet werden. Tabelle 3.2 zeigt einen Vergleich der Va- 
riantenzahlen, die sich mit und ohne Unabhangigkeitspramisse ergeben. 

3.3,5 Systemstruktur 

Dieser Abschnitt erlautert grob die Datenfliisse und die Systemstruktur, die dem FollowSM- 
Analysator zugrundeliegen. Figur A. 1 8 faBt diese Informationen grafisch zusammen. 

Leser 

Die Schnittstelle zum beobachteten Kommunikationsmedium bildet eine Zeyer-Komponente, 
die die ausgetauschten PDUs mit Zeitstempeln als Bitfolgen bereitstellt. Allein der Austausch 
dieses Lesers, der im allgemeinen nur aus wenigen Code-Zeilen besteht, entscheidet uber den 
„Online"- oder „Offline"-Betrieb oder erlaubt den Wechsel der physikalischen Schnittstelle 
oder — beim „Offline"-Betrieb — des Dateiformats. 

Dekoder 

Die nachste Hauptkomponente ist der Dekoder, der die vom Leser in Gestalt einer Bitkette 
bereitgestellten PDUs in eine Folge von Attributwerten uberfuhrt, die den einzelnen PDU- 
Feldern entsprechen. Diese Darstellung sollte soweit wie moglich an der Semantik der PDU- 
Inhalte im Rahmen des Zielprotokolls orientiert sein, d. h. rein syntaktische Freiheiten in 
der PDU-Kodierung, die fur das Protokollverhalten bedeutungslos sind, gar nicht erst in die 
interne Attributdarstellung eingehen lassen. Dies betrifft z. B. Freiheiten in der Reihenfolge 
von Datenfeldern oder Informationen, die nur die Grenzen eines folgenden Feldes innerhalb 
der Bitkette definieren. Nicht vorhandene Optionale PDU-Felder konneri vom Dekoder ggf. 
schon durch die im Protokoll fur diesen Fall festgelegten Standardwerte ersetzt werden. 

Weil bekannte Spezifikationssprachen fur die PDU-Syntax wie z. B. ASN.l dieser Aufga- 
be der semantikerhaltenden Reduktion fur beliebige konkrete Transfersyntaxen (vgl. Ab- 
schnitt 2.1.2) nicht gewachsen sind, wird die PDU-Syntax im FollowSM- Ansatz nicht mit 
Hilfe einer Spezifikationssprache beschrieben, sondem der Dekoder prozedural entworfen. 

Der Dekoder muB auBerdem erkennen, zu welcher Art von OTEFSM-Modul und zu welcher 
OTEFSM-Instanz dieser Art eine beobachtete PDU gehort, damit sie fiir die Verhaltensanalyse 
richtig zugeordnet wird. Fehlerhaft kodierte PDUs werden ebenfalls vom Dekoder erkannt. 

Analysator und OTEFSM-Instanzen 

In der Analysator-Komponente ist die Logik der unsicherheitsbehafteten Spuranalyse zusam- 
mengefaBt. Diese Komponente ist vollkommen protokollunabhangig. Instanzen der protokoll- 
spezifischen OTEFSM-Module werden immer dann erzeugVwenn PDUs gelesen werden, die 
der Dekoder einem noch nicht existierenden Modul zuordnet. Sie werden entfern't, sobald sie 
in einem sicheren inaktiven Zustand sind und keine ihnen zugeordneten PDUs mehr voriiegen. 
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Name, 
Parameter 


.TTcricuci clLn 


u a rs ten u n g 


Semantik 


BOOL 


{W,F} . 


ae{W,F, w } .. 


{a} wenn o^w 
{W, F} wenn a = u> 


INT 


Z 


aeZU{w} 


{a} wenn a^u 
Z wenn a = u> 


RANGE L)t/ 

L,uez 

L<U 


{l, ..:,£/> 


a,be {L,...,U} 


{a, 6} wenn a < b 
{L, ...,b,a, ...,U] wenna>6 


SET L , V 
L,U eZ 
L<U 


{L,...,U} 


a E {0, 


{*€ {L, . .. ^Ha^ ^l} 


LSET Lit/ 
L,U € Z 
L < U < L + 32 


{L,...,U} 


a <E {0, 


{xe{L,...,i7}|a I _ L = l} 



Tabelle 3.1:, Die Fo/WSM-Datentypen zur unsicherheitsbehafteten Modellierung von Zu- 
standsvariablen. 



Anzahl . . . 


Allgemein 


Beispiel 


Module 


m 


10 


Zustande pro Modul 


n 


3 


Modulzustande (unabhangig) 


m - n 


3 • 10 = 30 


Systemzustande (abhangig) 


n m - 


3 1U = 59049 



Tabelle 3.2: Zustandsexplosion bei Verzicht auf die Unabhangigkeitspramisse. 
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3.3.6 Analyseberichte 

Dieser Abschnitt erlautert, welche Ergebnisse der Fo/ZowSM-Prototyp dem Anwender lie- 
fert. Zu den unterschiedlichen Arten von abrufbaren Analyseberichten gehdren jeweils spe- 
zifische Verfahren, wie die im Suchbaum der Spuranalyse enthaltenen Informationen ausge- 
wertet und aufbereitet werden. Figur A. 19 stellt die vollstandige Hierarchie von FollowSM- 
Analyseberichten dar, in der die Pfeilrichtung fur Abstraktion und damit Verdichtung eines 
Ursprungsberichtes steht. Die Zahlen an den rechten unteren Ecken der Kastchen geben die 
Lange der Berichte in Zeilen fur ein konkretes Beispiel an, um die GroiJenordnung dieser 
Informationsverdichtung zu illustrieren. Die einzelnen Berichtstypen werden im folgenden 
erklart. 

Protokoll aller Suchschritte 

Hier werden alle einzelnen Suchschritte der Zustandsentwicklung — einschlieBlich derjenigen 
Pfade, die spater als Sackgassen enden — ausgegeben. Es handelt sich also um eine vollstandi- 
ge Darstellung des Suchbaums. Diese ist aufgrund zahlreicher sich spater widerlegender Ver- 
zweigungen sehr uniibersichtlich und eignet sich kaum fur einen Menschen als Leser. 

Relinearisierte Abfolge der Zustande 

Hier wird eine Folge von Zustanden und Transitionen rekonstruiert, die das beobachtete Ver- 
halten der IUT erklart, also ein einzelner nichtabbrechender Pfad im Suchbaum. Diese Folge 
ermoglicht dem Benutzer einen guten Einblick in die abgelaufene Kommunikation und kann, 
anders als der vollstandige Suchbaum, schon eine wertvolle Hilfestellung sein. 

Bei der Ermittlung der Zustandsfolge sind zwei miteinander verwandte Teilprobleme zu losen: 

1. Durch die Pfadvereinigungen, wie in Abschnitt 3.3.3 beschrieben, verwandelt sich 
der Suchbaum in einen gerichteten Graphen, der die Baumeigenschaft eindeutiger 
Vorgangerknoten nicht mehr aufweist. Es wird eine Datenstruktur benotigt, die diesen 
Suchgraphen verwalten und daraus efiizient den , jichtigen" erklarenden Pfad ableiten 
kann. 

2. Jede durch eine Pfadvereinigung entstandene Masche im Suchgraphen fuhrt zu einer 
Mehrdeutigkeit in der Zustandsentwicklung. Da im Interesse der Benutzerfreundlich- 
keit ein einzelner erklarender Pfad ermittelt werden soli, miissen diese Mehrdeutigkei- 
ten aufgelost werden. AuBerdem soil zu jedem Zustand der Zustandsfolge eine Angabe 
erfolgen, ob er mit Sicherheit oder — aufgrund einer solchen Mehrdeutigkeit — nur viel- 
leicht von der IUT durchlaufen wurde. 

Die Auflosung von Mehrdeutigkeiten ist in den Fallen vorgegeben, wo eine Verallgemeine- 
rung oder Spezialisierung einer bekannten Zustandsbeschreibung stattfindet: Die allgemei- 
nere Zustandsbeschreibimg kann alle korrekten zukunftigen Verhaltenaltemativen erklaren, 
weshalb der zu ihr fuhrende Pfad statt des anderen in die erklarende Zustandssequenz aufge- 
nommen werden muli. Bei gleichen Zustandsbeschreibungen findet eine nichtdeterministische 
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Auswahl statt, die in FollowSM durch Beibehalt des zuerst gefundenen Pfades als einfachere 
Variante realisiert ist. 

Die /^<i-Datenstruktur des FollowSM- Systems zur Verwaltung des Suchgraphen basiert auf 
einem gerichteten Graphen mit zwei Kanten- und drei Knotentypen. Die Kantentypen sind: 

1. Primare Kanten: Eine primare Kante bildet jeweils die allgemeinste Erklarung fur 
das Zustandekommen einer Zustandsbeschreibung. Jeder Zustandsknoten hat hochstens 
eine hinfuhrende Primarkante. Folglich spannen die Primarkanten einen Baum auf, der 
das Zustandekommen seiner Blattknoten vollstandig erklart, den Primarbaum 

2. Sekundare Kanten: Sekundare Kanten markieren alternative Zustandsiibergange, die 
zumindest eine Teilmenge der Zustandsbeschreibung ihres Zielknotens erzeugt haben 
konnten. Knoten konnen mehrere hinfuhrende Sekundarknoten aufweisen. 

An Knotentypen gibt es: 

. 1. Blattknoten: Blattknoten sind die Blatter des Primarbaums. Sie tragen die Zustandsbe- 
schreibungen, die noch nicht weiterentwickelt worden sind. 

2. Entwickelte Knoten: Knoten des Entwicklungsgraphen, die mindestens einen uber eine 
Primar- oder Sekundarkante erreichbaren Nachfolger aufweisen. Folgende Unterarten 
entwickelter Knoten existieren: 

(a) Als „unsicher" markierte Knoten tragen Zustandsbeschreibungen, die%ur viel- 
leicht von der IUT durchlaufen wurden. 

(b) Unmarkierte Knoten sind noch nicht als unsicher markiert. Dies ist der „Urzu- 
stand" eines entwickelten Knotens, Anderungen kommen nur in der Richtung un- 
markiert zu unsicher vor. Weiter unten wird ausgefuhrt, warm der SchluB giiltig 
ist, daB die zugehorige Zustandsbeschreibung sicher durchlaufen wurde. 

AuBerdem gibt es stets zwei ausgezeichnete Knotenpositionen im Primarbaum, die als u~ 
Position und ^-Position bezeichnet werden. Ftir die Definition dieser Positionen wird im fol- 
genden von ,Jfruheren" und ,^pateren" Knoten gesprochen, wobei die Kanten von fhiheren zu 
spateren verlaufen. 

• u markiert den friihesten Knoten, von dem mehr als eine Kante ausgeht. 

• v markiert den friihesten Knoten, von dem mehr als eine Primarkante ausgeht. 

Daraus folgt u < v im Sinne des ^ruhef-Begriffs. Bis zur Position u liegt bereits eine reine 
Zustandssequenz vor, zwischen u und v bilden nur noch die Primarkanten eine verzweigungs- 
freie Sequenz. AuBerdem gilt die Invariante, daB alle Knoten bis einschlieBlich v hochstens 
einen Vorganger haben, mit anderen Worten keine hinfuhrenden Sekundarkanten aufweisen. 

Figur A.20 illustriert die i^arf-Datenstruktur des FollowSM-Systems zur Verwaltung des 
Suchgraphen anhand eines Beispiels mit zwei Operationen. Alle Kanten verlaufen von links 
nach rechts. Graph a zeigt die Ausgangssituation. Als erste Operation wird eine Pfadverei- 
nigung aufgrund eines von Knoten 1 erreichbaren Spezialfalls von Knoten 2 durchgefuhrt 
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(b). Der primare Pfad zu 1 wird daher von rechts nach links in sekundare Kanten transfor- 
miert, bis hinunter zum v-Knoten, weil dieser erstmals weitere Primarnachfolger aufweist. Die 
zweite Operation ist das Loschen des Knotens 3, nachdem dessen Entwicklung ohne Folge- 
zustande in einer Sackgasse endet (c). Alle inneren Knoten ohne Nachfolger miissen entfernt 
werden, wobei der in c gezeigte Graph ubrigbleibt. Weil auch die letzte alternative ausgehen- 
de Primarkante vom u-Knoten geloscht wurde, riickt v zwei Positionen nach rechts. Nun muB 
aber noch die ^-Invariante wiederhergestellt werden, indem die Sekundarpfade zum neuen v- 
und dessen Vorgangerknoten geloscht werden, wobei ein weiterer Knoten wegfallt (d). Dabei 
werden alle Knoten in den Maschen aus dem Primar- und den geloschten Sekundarpfaden als 
„unsichei" markiert, weil die geloschten Sekundarpfade ja mogliche Alternativerklarungen 
darstellen. AnschlieBend riickt die u-Position noch bis zur neuen ersten Sekundarabzweigung 
vor. 

Alle Knoten ab u nach links stellen die Zustandssequenz dar, die ausgegeben werden soli. 
Nicht als „unsichei" markierte Knoten sind hier mit Sicherheit von der IUT durchlaufen. Zwi- 
schen u und v stehen zwar schon die Knoten der gesuchten Sequenz fest, aber noch nicht 
das Unsicherheitsattribut. Dies erkennt man im Teilbild d von Figur A.20: Das endgiiltige 
Unsicherheitsattribut am Nachfolger des w-Knotens hangt davon ab, ob der untere Blattkno- 
ten erfolgreich weiterentwickelt werden kann (geschlossene Sekundarmasche) oder nicht (Se- 
kundarpfad wird geloscht). 

Figur A.21 stellt die Struktur des Analyseberichts Zustandsfolge fur den Fall einer Synchro- 
nisationsphase dar. Man erkennt die beobachteten PDU-Typen, die rekonstruierte Transiti- 
onsfolge und die Entwicklung dreier unsicherheitsbehafteter Zustandsvariablen,,namlich J des 
Basiszustands, eines Zeitgebers und eines Sequenzzahlers. Nach nur sieben PDUs sind die 
Werte dieser drei Variablen sicher ermittelt. 

Fehlerereignisse mit Vorgeschichte 

Wenn die beobachtete Kommunikation arm an Fehlersituationen ist, dann wirkt auch -die 
Lange der relinearisierten Zustandsentwicklung storend. Daher kennt FollowSM einen Ana- 
lysebericht, der sich auf die Fehlerereignisse der beobachteten Kommunikation beschrankt, 
wobei jedes Fehlerereignis mit dem unmittelbar vorausgegangenen Teilstuck der Zustandsfol- 
ge gemaB dem vorigen Abschnitt in einer konfigurierbaren Anzahl von Entwicklungsschritten 
beschrieben wird. 

Die Fehlerereignisse selbst werden mit einer protokollunabhangig automatisch generierten 
Meldung beschrieben, die davon abhangt, an welcher Stelle der Prozedur Entwickle die Zu- 
standsentwicklung des letzten vorhandenen Blattzustands erfolglos abgebrochen wurde. Diese 
Stellen sind im Algorithmus in Abschnitt 3.3.2 als Fall 1 bis Fall 7 gekennzeichnet und fuhren 
sinngemaB zu folgenden Meldungen: 

Fall 1 Die aktivierte unmittelbare Transition ... hat gemaB der beobachteten Ausgaben nicht 
geschaltet. 

Fall 2 Die aktivierte zeitabhangige und aufgrund des Zeitgeberablaufs verspatete Transition 
... hat gemaB der beobachteten Ausgaben nicht geschaltet. 
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Fall 3 Die eingabeabhangige Transition ... hat trotz passender Eingabe nicht geschaltet. 

Fall 4 Die aktivierte zeitabhangige Transition ... blockiert alle alternativen Transitioned weil 
Zeitgeber ... abgelaufen ist. 

Fall 5 Es ist keine Transition aktiviert, die die zur Zeit ... beobachtete Ausgabe-PDU ... er- 
zeugen konnte. 

Fall 6 Es ist keine Transition aktiviert, die die zur Zeit ... beobachtete Eingabe-PDU ... lesen 
konnte. 

Fall 7 Keine der aktivierten Transitionen, die die zur Zeit ... beobachtete Eingabe-PDU ... 
lesen konnten, hat gemaB der beobachteten Ausgaben geschaltet. 

Naturlich sagt die jeweilige Meldung nur etwas fiber das Scheitern der letzten Zustandsexpan- 
sion aus. Eine tatsachliche Fehlfunktion der IUT, die zu einer Inkonsistenz zwischen ihrem 
internen Zustand und ihrem Verhalten gefuhrt hat, kann sich jedoch schon fruher ereignet 
haben, sowohl bei einem Vorganger der Zustandsbeschreibung, auf der die Meldung basiert, 
als auch innerhalb eines Alternativzweigs. Zuverlassigere Angaben zur Fehlerursache sind an- 
hand der Protokollspezifikation nicht ableitbar, weil ja keinerlei Informationen zur Implemen- 
tierung der IUT und zu ihren internen Zustanden wahrend der Spurerzeugung zugrundegelegt 
werden. 

Hinzu kommen noch Kodierungsfehler in Ausgabe-PDUs, die vom Dekoder gemeldet wer- 
den. 

Fehlerklassifikation und Schatzung des Lasteinflusses 

In Abschnitt 2.2.1 wurde erlautert, warum aus Anwendersicht eine automatische Zusammen- 
fassung der Fehlerereignisse gemaB vorigem Abschnitt zu Fehlerklassen sehr wunschenswert 
ist. Diese Zusammenfassung-oder Fehlerklassifikation -bcnotigt eine Ahnlichkeitsregel, die 
angibt, wann genau zwei Fehlerereignisse derselben Fehlerklasse zugerechnet werden sollen, 
weil sie wahrscheinlich eine gemeinsame Ursache haben — z. B. einen Implementierungsfeh- 
ler in der IUT oder eine bestimmte Uberlastsituation. 

Fixr FollowSM gehoren zwei Fehlerereignisse derselben Klasse an, wenn sie ubereinstimmen, 

• bei Kodierungsfehlern, die der Dekoder feststellt, im Typ der betroffenen PDU und der 
Fehlermeldung des Dekoders, bzw. 

• bei Verhaltensfehlern, im Abbruchfall (Falle 1 bis 7 oben) und der Sequenz der letzten 
n erfolgreichen Transitionen in der relinearisierten Zustandsentwicklung. 

Die Schwelle n ist vom Anwender konfigurierbar. 

Weiteren AufschluB iiber mogliche Fehlerursachen erlaubt die Unterscheidung zwischen per- 
manenten, transienten und intermittierenden Fehlern. Zu diesem Zweck miissen neben den 
Fehlerereignissen jeder Fehlerklasse auch die zugehorigen Gutfalle identifiziert werden. Das 
sind Ereignisse, in denen die der Fehlerklasse entsprechende Kommunikationssituation vor- 
liegt, ohne daB das jeweilige Fehlverhalten aufgetreten ist. Die Kommunikationssituation der 
Fehlerklasse definiert sich ' 



3.3. ALGORITHMISCHE UMSETZUNG 



65 



• im Falle von Kodierungsfehlern durch den PDU-Typ, 

• im Falle von Verhaltensfehlern durch die charakteristische n-elementige Transitionsse- 



der Fehlerklasse. Mit Hilfe der Anzahl e c der Fehlerfalle, der Anzahl g c der Gutfalle und der 
Anzahl s c der Eintritte der Kommunikationssituation der Fehlerklasse c in einem Zeitraum 
ergibt sich ihre Fehlerquote q c za 



Implementierungsfehler werden vorwiegend permanente Fehler hervorrufen, bei denen die 
Fehlerquote nahe bei 1 liegt. Uberlastsituationen und Storsignale auf dem Medium dagegen 
werden vorwiegend zu transienten und intermittierenden Fehlern fiihren, fur deren Fehlerklas- 
sen sowohl Fehler- als auch Gutfalle auftreten. 

Lastabhangige Fehler, die durch uberhohte Kommunikationslast begunstigt oder verursacht 
werden, sind besonders haufige Problemquellen in realen Kommunikationssystemen. Daher 
kann FollowSM fur jede Fehlerklasse die Lastkorrelation der Fehlerquote berechnen. Dazu 
wird die Beobachtungszeit in Intervalle eingeteilt und fur jedes Intervall i und jede Fehler- 
klasse c die Fehlerquote q\ sowie die Last P berechnet. P ist die Anzahl der PDUs, die derje- 
nigen OSI-Protokollschicht zugeordnet wurden, aus der die Fehlerklasse c stammt, und deren 
Beobachtungszeitstempel im Intervall i liegen. Die Lange der Zeitintervalle fur die Korrela- 
tionsbestimmung kann vom Anwender konfiguriert werden. Die Lastkorrelation ld c ist der 
Korrelationskoeffizient der Paare q^) von Last und Fehlerquote, bei m Intervallen: 



Im Analysebericht der Fehlerklassen werden keinerlei ereignisbezogene Informationen mehr 
ausgegeben. Stattdessen enthalt der Bericht pro aufgetretener Fehlerklasse die .im folgenden 
noch einmal zusammengefaBten Angaben: ^ 

• Beschreibung der Fehlerklasse durch Fehlerart und ggf. charakteristische Transitions- 
sequenz. 

• Anzahl der Fehlerfalle wahrend der Beobachtung. 

• Anzahl der Gutfalle wahrend der Beobachtung seit dem ersten Fehlerfall. . 

• Fehlerauftrittsquote als Verhaltnis aus Fehler- zu Fehler- und Gutfallen seit dem ersten 



quenz 




2 



(3.10) 



Fehlerfall. 
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• Lastkorrelation def Fehlerquote. 

• Anzahl der Zeitintervalle, die in die Berechnung der Lastkorrelation eingegangen sind. 

Alles in allem liefert die statistische Fehlerauswertung ein kompaktes, leichter interpretierba- 
res Ergebnisprotokoll, das nach Ursachen, nicht nach Symptomen strukturiert ist. 

Protokollparameter-Schatzung 

Die in Abschnitt 2.2.1 beschriebene Schatzung von Protokollparametern erfolgt mit Hilfe ei- 
ner pro OTEFSM-Klasse vorhandenenprotokollspezifischen Prozedur, die den Transitionstyp 
und den Ausgangs- und Endzustand jedes Zustandsiibergangs verarbeitet, der in der relineari- 
sierten Zustandsentwicklung sicker stattgefunden hat. Welche Riickschliisse auf Protokollpa- 
rameter moglich sind, hangt vom Protokoll ab und laBt sich nicht aus einer Protokollspezifika- 
tion ableiten, die alle denkbaren Parametrisierungen zulassen muB, um keine unzutreffenden 
Meldungen iiber ProtokollverstoBe zu produzieren. 

Eine prinzipielle Alternative zur Ermittlung von Protokollparametern besteht darin, eine Zu- 
standsvariable mit dem Wertebereich der moglichen Werte eines Parameters einzuffihren 
und die Verhaltensentscheidungen im OTEFSM-Modell vom Wert dieser Zustandsvariable 
abhangig zu machen, der nie explizit geandert wird. Im Rahmen der unsicherheitsbehafte- 
ten Spuranalyse wird diese Parametervariable als „ungewi!3" initialisiert. Wenn sie 'spater auf 
emen sicheren Wert eingeschrankt wird, ist nur dieser Wert des Parameters mit dem beobach- 
teten Verhalten vertraglich. Dieses Vorgehen ist jederzeit beim FollowSM-System umsetzbar, 
weil keinerlei spezielle Funktionalitat benotigt wird. Allerdings fuhrt es dazu, daB initial al- 
le Verhaltenspfade fur die verschiedenen Parameterwerte parallel untersucht werden. Dies 
ist im allgemeinen inefBzienter als der zusatzlich verwirklichte Ansatz iiber eine besondere 
Parameter-Ermittlungsprozedur, in der protokollglobales Wissen fiber die Auswirkungen des 
Parameters ausgenutzt werden kann. 

Ein Sonderfall fur die Parameterschatzung ist die Schatzung der tatsachlichen Zeitgeberlauf- 
zeiten, die die IUT verwendet. Denn diese Zeiten sind anhand der Beobachtung nicht exakt 
meBbar und bereits im OTEFSM-Modell mit Unsicherheit ausdruckenden Zeitintervallen dar- 
gestellt (vgl. Abschnitt 3.2.1). Der geschilderte Alternativansatz fiber eine normale Zustands- 
variable ist zur Ermittlung der „tatsachlichen" Zeitgeberlaufzeiten daher ungeeignet. Auf der 
anderen Seite wird in relevanten Protokollen bei diesen Zeiten besonders haufig auf verbindli- 
che numerische Festlegungen im Protokollstandard verzichtet, um den Einsatzspielraum nicht 
einzuengen. Man denke z. B. an den Vergleich einer Datenubertragung fiber einige Meter 
Glasfaserleitung mit einer Satellitenfunkstrecke. Bei letzterer fuhrt die Signallaufzeit zu mi- 
nimalen Antwortzeiten in der GroBenordnung einer halben Sekunde. 

Jedes zeitgeberabhangige Schaltereignis liefert eine minimale und eine maximale tatsachli- 
che Zeitgeberlaufzeit, t min und i m ax. .Dazu werden zunachst die fruheste und spateste 
Ausfuhrungszeit t 0 , t x der Transition, die den verantwortlichen Zeitgeber gestartet hat, und 
die fruheste und spateste Schaltzeit t' Q , f x der ausgelosten zeitabhangigen Transition ermittelt. 
AuBerdem sind die von der startehden Transition eingestellte Minimal- und Maximallaufzeit 
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0 0 , 0\ bekannt. Somit gilt: 

<min = max{io — t\\ 9o} 
*max = mm{t[ - t 0 ; 9i} 

Figur A.22 verdeutlicht die Herkunft dieser Werte noch einmal in grafischer Form. 

Mit Hilfe dieser Paare (* m j n) * max ) ermittelt der FollowSM-Ahslysator einige statistische 
Kennzahlen, um die tatsachliche Zeitgeberlaufzeit in der IUT zu charakterisieren. Im fol- 
genden steht k fur die Anzahl der beobachteten Zeitgeberablaufe: 

• Umfang k der beobachteten Stichprobe. 

• Globales Minimum t Min der vorkommenden Zeiten: * 

W=min^ min 

i=l. .k 

• Globales Maximum i Max der vorkommenden Zeiten, analog. 

• Standardabweichung crt min der minimal en Laufzeiten : ^ , 



iff, _lyv V 



• Standardabweichung ai max der maximalen Laufzeiten, analog. 

• Mittelwert t als Schatzwert der Laufzeit iiber alle Intervalle: 



1 * 

• 9/r / v max ' 6 min — 



<2fc ' -* max 1 min , ^ 



Mittlere Breite At der rekonstruierten Laufzeitintervalle: 

k 



= - f - 1* - - t — - 

£ / > max ^min - 6 max 6 min 



A* 

k 



Diese Kennzahlen vermitteln einen umfassenden Eindruck vom Zustandekommen der Lauf- 
zeitschatzung t. So zeigt z. B. ein Vergleich der Standardabweichungen der Minimal- bzw. 
Maximalzeiten mit der mittleren Intervallbreite, ob eher eine ungenaue Schatzung vorliegt 
(breite Intervalle) oder die tatsachliche Laufzeit stark schwankt (hohe Standardabweichung). 
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3.3.7 Arbeitsersparnis fur den Anwender 

Der mogliche Nutzen der nachgeschalteten Analysen bei der Berichterstellung laBt sich 
abschatzen, wenn man die exemplarischen Berichtslangen in Figur A.19 betrachtet:. Obwohl 
die Auflistung aller Suchschritte fur den Anwender wenig brauchbar ist, stellt sie dennoch 
eine Beschreibung genau derjenigen ,,Uberlegungen" dar, die auch ein menschlicher Proto- 
kollexperte anstellen mfiBte, um mit vergleichbarer Zuverlassigkeit eine Aussage fiber die 
Protokollkonformitat der IUT treffen zu konnen. Derjenige Analysebericht, der nur noch die 
beobachteten Fehlerklassen mit statistischer Ursacheneingrenzung beinhaltet, stellt dagegen 
eine sehr kompakte und vollstandige Charakterisierung des IUT-Verhaltens dar und ist um 
zwei GroBenordnungen kfirzer. Dieser GroBenvergleich liefert damit einen brauchbaren An- 
haltspunkt fur die Aufwandsersparnis, die das FollowSM- Verfahren gegenuber der manuellen 
Interpretation der Ausgaben eines konventionellen Protokollmonitors erzielt. 



3.3.8 Implementierung 

Der Fo/WSM-Prototyp wurde in C++ implementiert, um einen objektorientierten Entwurf 
- mit generischen Datentypen, um protokollunabhangige Konzepte mit protokollspezifischen 
Einzelheiten instantiieren zu konnen - mit zufriedenstellender Effizienz und guter Portierbar- 
keit auf alle ublichen Plattformen zu kombinieren. Da der GNU-C-Compiler gcc verwendet 
wurde, ist eine unmittelbare Verwendung der Software auf alien Systemen sichergestellt, wo 
der gcc verfugbar ist. Eine einfache grafische Benutzerschnittstelle fur das X-Window-System 
ist als separates Programm in Tcl/Tk realisiert. Figur A.23 zeigt ein Beispiel fur die Bildschir- 
manzeige der Oberflache. 



Datenmodell 

Figur A.24 gibt einen Uberblick fiber das Datenmodell, auf dem der objektorientierte Pro- 
grammentwurf basiert. Die Darstellung lehnt sich an an Entitaten-Relationen-Diagramme aus 
der Datenbankmodellierung (nach [Che76]). Die Rechtecke reprasentieren Klassen, wahrend 
die Rauten Relationen beschreiben. Punkte an Rauten markieren die ra-Seite einer 1 : n- 
Beziehung, Pfeile symbolisieren Ableitung (Vererbung), in Pfeilrichtung gelesen als ,4st ab- 
geleitet von". Die Namen der protokollspezifischen Klassen (gestrichelte Rechtecke) sind 
mit XXX als Platzhalter fur die Protokoll- bzw. Schichtbezeichnungen versehen. Alle Klas- 
sen mit durchgezogenen Rechtecken bilden den protokollunabhangigen ,3ibliotheks"-Anteil 
des FollowSM-Systems. 

Man erkennt, daB die Zustandsbeschreibungen (Klasse State) nicht nur modulweise, sondern 
auch schichtweise organisiert sind (Klassen Module und Layer). Die PDUs (Klasse PDU) 
werden fiber eine spezielle Speicherstruktur mit Hilfe der Klasse Forget verwaltet. Sie werden 
gelesen, wann immer die Entwickle-Vroze&w eine neue PDU anfordert, jedoch keine PDU ffir 
den gerade bearbeiteten Modultyp im Zwischenspeicher (Klasse PduCache) mehr vorhanden 
ist. Dabei konnen -quasi zwischendurch- auch PDUs zu und von anderen Modulen auftreten, 
die nebenbei dekodiert und im Zwischenspeicher abgelegt werden mfissen. Trotzdem dient der 
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Zwischenspeicher nur dem Ausgleich von Ausgabeverzogerungen und solchen Verschrankun- 
gen zwischen den PDU-Stromen verschiedener Module und Schichten. Wenn der Analysefort- 
. schritt aller Module einen Zeitpunkt iiberschritten hat, kann der Zwischenspeicher alle alteren 
PDUs bereits wieder vergessen. Daher stammt der Name der Speicherverwaltungsklasse For- 
get. Wenn mehrere Schichten gleichzeitig analysiert werden, mussen die PDUs einer hoheren 
Schicht aus den Datenfeldern der Schicht darunter extrahiert werden. Diese Aufgabe hat bei 
FollbwSM der Dekoder der unteren Schicht zu erfullen, der zu diesem Zweck rudimentare 
Protokollfunktionalitat enthalten muB, urn beispielsweise Paketwiederholungen von erstmals 
gesendeten Daten zu unterscheiden oder um die korrekte Nachrichtensequenz fur die hohe- 
re Schicht wiederherzustellen. Die OTEFSM-Module konnen diese Aufgabe nicht erfullen, 
weil ihre Zustandsiibergange im allgemeinen unsicher, d. h. spekulativ ausgefuhrt werden. Fi- 
gur A.25 zeigt die Aufrufrelation der an der PDU-Verwaltung innerhalb eines Protokollstapels 
beteiligten Klassen und Methoden. Der dargestellte Stapel umfaBt die Protokolle Q.21T0 und 
Q.293 1 als Schichten 2 und 3 der Signalisierung am UNI {user-network interface, Teilnehmer- 
Netz-Schnittstelle) des B-ISDN, soli aber gleichermaBen als Beispiel fur den allgemeinen Fall 
dienen. Im Diagramm sind die Aufrufeingange der Methoden mit einem schwarzen Dreieck 
gekennzeichnet, die Ausgange befinden sich jeweils gegeniiber. Waagerechte Linien direkt am 
Ein- oder Ausgang einer Methode werden nur von dieser Methode selbst verwendet. 

Transitionen 

Jede Transition der OTEFSM wird bei FollowSM als ein Satz von Methoden der zugehorigen 
Zustandsklasse {StateXXXvm Datenmodell) beschrieben. Diese Methoden sind: 

• fPre(ipdu) testet die Vorbedingung der Transition, das sind die Zustandsbedingung und 
die Anforderung an eine evtl. erforderliche Eingabe-PDU ipdu. Zu diesem Test gehort 
die Berechnung derjenigen Zustandsteilmenge, fur die die Vorbedingung erfullt ist. . 

• fNPre(ipdu) bildet die Negation der Vorbedingung. Diese scheinbare Redundanz riihrt 
daher, daB fur unsicherheitsbehaftete Zustandsbeschreibungen ja und n'ein durchaus 
gleichzeitig gelten kann, wenn auch nicht fur dieselben einzelnen Elementarzustande 
(vgl. Abschnitt 3.3.1). AuBerdem konnen unterschiedliche Einschrankungen fur die Re- 
prasentierbarkeit der Ja- und der Nein-Falle gelten. 

• fPost(ipdu,opdu) ist die Nachbedingung der Transition, so genannt, weil sie die For- 
derungen an eine Ausgabe-PDU opdu der Transition untersucht, nachdem die Transi- 
tion als schaltfahig bzw. schaltpflichtig festgestellt wurde. Sie wird nicht als Negation 
benotigt, weil ihr Ergebnis keinen EinfluB auf alternative Transitionen hat, wie das bei 
der Vorbedingung der Fall ist. 

• fTrans(ipdu,opdu,tO,tl) ist die Zustandsuberfuhiimgsflinktion der Transition, wenn sie 
zwischen tO und tl schaltet und dabei die Eingabe ipdu konsumiert, die Ausgabe opdu 
produziert. 

Die Zustandsanderungen sind auch bei den Bedingungen als direkte Anderung.des Zustands- 
objekts implementiert, fur das die Methoden aufgerufen werden. Aus diesem Grund fuhren 
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samtliche Operationen auf Zustandsbeschreibungen iiber ein Kennzeichen daruber Buch, ob 
erne Anderung der Zustandsbeschreibung aufgetreten ist, damit sich der Aufrufer um die Auf- 
bewahrung und Wiederherstellung noch benotigter Zustandsinformationen kiimmera kann. 
Um ein Gefuhl fur die praktische Realisierung der Transitionsdefinitionen zu geben, zeigt Fi- 
gur A.26 ein Beispiel fur den C++-Programmtext einer Transition aus dem Q.21 10-Protokoll 
Die vereinfachte Notation der Methoden und der logischen Operatoren wird durch den Einsatz 
von Praprozessormakros erreicht. 

3.4 Spuranalyse anhand von SDL-Spezifikationen 

Die bishereigen Abschnitte dieses Kapitels sind nicht auf die Frage eingegangen, wie die 
OTEFSM-Spezifikationen zur Spuranalyse aus.einer existierenden formalen Spezifikation des 
Zielprotokolls abgeleitet werden kann (vgl. Abschnitt 3.2). Dieser Schritt ist Gegenstand die- 
ses Abschnitts, der eine Zusatzkomponente in Form eines Ubersetzers beschreibt, der eine 
OTEFSM-Spezifikation in der in Figur A.26 angedeuteten Form aus einer Protokollspezifika- 
tion in der Sprache SDL (vgl. Abschnitt 2. 1 .2) generiert. 

Die in diesem Abschnitt beschriebene Losung wurde in [Pil97] ausgearbeitet. 

3.4.1 Motivation 

Anhand von Transitionsdefinitionen wie in Figur A.26 sieht man leicht ein, daB der ma- 
nuelle Entwurf einer OTEFSM zur Spuranalyse sowohl aufwendig als auch fehleranfallig 
ist. Der Entwurf einer OTEFSM-Spezifikation fur das Abschnittssicherungsprotokoll der 
Breitband-ISDN-Signalisierung, SSCOP nach ITU Q.21 10 [IT94a], auf Grundlage der SDL- 
bpezifikation im Standarddokument erforderte ungefahr einen Personenmonat an Entwick- 
lungsarbeit. Eine Verwendung von SDL-Spezifikationen, um OTEFSM-Spezifikationen fur 
FoUowSM automatisch zu generieren, ist daher ein logischer und von der Idee formaler Spe- 
zifikationstechniken her geradezu zwingender Weg, um die Korrektheit konkreter FollowSM- 
Analysatoren sicherzustellen und ihre Entwicklungszeit zu minimieren. 

3.4.2 Problemanalyse 

Zunachst soli untersucht werden, ob und inwiefern ein vollstandiger und korrekter Fo// OW 5M- 
Analysator aus einer SDLrSpezifikation abgeleitet werden kann. 

Berechenbarkeit der Spuranalyse 

Leider ist es, wie in Abschnitt 3. 1 .2 gezeigt wurde, nicht moglich, die Spuranalyse fur belie- 
bige immerhin terrninierende SDL-Spezifikationen zu berechnen. Aus Theorem 2 folgt daher 
daB die automatische Ableitung einer aquivalenten OTEFSM aus einer SDL-Spezifikation 
nicht im allgememen berechenbar ist. Die technische Erklarung hierfur besteht darin daB 
gewisse SDL-Konstrukte im OTEFSM-Kalkul nicht modellierbar sind 
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Besonderheiten der OTEFSM 

Aufgrund der in Abschnitt 2.2.1 geschilderten besonderen Anforderungen an einen realen 
Spuranalysator verfugt die OTEFSM iiber einige Modellierungsaspekte, die liber den Model- 
lierungsumfang von SDL hinausgehen. Diese Aspekte, die vor allem Zeitbedingungen betref- 
fen, lassen sich riicht aus einer SDL-Spezifikation gewinnen. ". 

Figur A.27 stellt die Relation der mit SDL bzw. einer Anzahl paralleler OTEFSMs modellier- 
baren Mengen von Systemen grafisch dar. Tabelle 3.3 nennt einige Aspekte der Modellierung, 
die eines der Kalkiile dem jeweils anderen voraushat. 

Informelle Anteile 

In vielen praktisch verfugbaren Protokollstandards sind SDL-Spezifikationen mit informel- 
len Anteilen vorhanden. So kommt z. B. in der SDL-Spezifikation zum Protokoll Q,2931 der 
ITU [IT94b] wiederholt die ,4mplementierungsabhangige Prozedui*' Check Message vor, de- 
ren Aufgabe nur im natiirlichsprachlichen Teil des Standards naher beschrieben wird. Weitere 
Details werden nur als Kommentare in der Spezifikation vermerkt. Zwar stellen derart unvoll- 
standige Spezifikationen eine Entscheidung des SDL-Anwenders dar und sind keineswegs in 
der Ausdrucksfahigkeit von SDL begriindet. In der Praxis ist aber mit solchen Spezifikationen 
zu rechnen, die eine vollstandig formale Ableitung einer OTEFSM von vornherein ausschlie- 
Ben. 

3.4.3 Losungsansatz 

Aus diesen Griinden wurde ein Ubersetzer entworfen, der aus einer SDL-Spezifikation, fur 
die gewisse Einschrankungen hinsichtlich des verwendeten Sprachumfangs gelten, ein Gerust 
fur die OTEFSM-Spezifikation des Spuranalysators erzeugt. Die in Abschnitt 3.4.2 genann- 
ten Liicken mxissen zwangslaufig durch eine anschlieBende manuelle Nachbearbeitung die- 
ses Geriistes geschlossen werden. Trotzdem bedeutet der SDL-Ubersetzer eine erhebliche 
Arbeitsersparnis, weil sich die Struktur der OTEFSM-Spezifikation direkt aus den SDL- 
Transitionen ableiten laGt. Der zeilenmafiig umfangreichste xind vor allem monotonste Teil 
des OTEFSM-Entwurfs bleibt dem Entwickler erspart. 

Einschrankungen fur die Spezifikation 

Eingabe des Ubersetzers ist eine Systemspezifikation in SDL/PR. Die folgende Auflistung 
nennt die wesentlichen SDL-Konstrukte, die bei der OTEFSM- Ableitung nicht behandelt wer- 
den konnen: 

• Explizite ProzeBerzeugung mit Create. OTEFSM-Module werden implizit erzeugt, so- 
bald zugehorige PDUs auftreten. Explizite ProzeBerzeugung wurde gegen die Un- 
abhangigkeitspramisse (vgl. Abschnitt 3.3.4) verstoBen. 

• Zugriff auf den Zustand anderer Prozesse mit Wew-Ausdriicken sowie exportierten und 
importierten Variablen. Auch dies laBt die Unabhangigkeitspramisse nicht zu. 
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Remote-Procedure-Input-Transitionen, bei denen eine Prozedur in einem anderen Pro- 
zeB aufgerufen wird, verbieten sich aus demselben Grund. 

Save-Operationen, bei denen bestimmte Eingabesignaltypen zur spateren Verarbeitung 
aufbewahrt werden, um zunachst andere Signale in der Warteschlange behandeln zu 
konnen, sind im OTEFSM-Modell nicht darstellbar. Dort mussen alle moglichen Ein- 
gaben jederzeit verarbeitet werden konnen, was zu Anderungen im Transitionsentwurf 
fuhrt. 

In SDL konnen Prozesse in mehrere Servzce-Bereiche mit intemer Kommunikation auf- 
geteilt werden. Dies widerspricht dem Ein-Automaten-Paradigma der OTEFSM mit 
vollstandig beobachtbaren Ein- und Ausgaben. 

Direkt oder indirekt rekursive Prozeduren sind nicht zulassig, weil Prozeduraufrufe we- 
gen der Besonderheiten der unsicherheitsbehafteten Operations- xmd Pradikatauswer- 
tung durch Expansion des Prozedurrumpfes iibersetzt werden. 

Die iibersetzbaren arithmetischen Operationen sind durch die vorhandenen Operationen 
auf Unsicherheit modellierenden Datentypen begrenzt (vgl. Abschnitt 3.3.1). Hier sind 
bei Bedarf Erweiterungen moglich. 

Im allgemeinsten Fall kann eine kommunizierende Instanz in SDL so mit Hilfe mehrerer 
SDL-Prozesse spezifiziert sein, daB eine Ubertragung in das OTEFSM-Modell fur FpllowSM 
einen neuen EintwurfsprozeB erfordert. Dieser ist aus Berechenbarkeitsgrunden nicKf automa- 
tisierban Als praktische Losung wird innerhalb der SDL-Spezifikation ein ProzeBtyp gesucht, 
der fur die Abwicklung der Kommunikation hinsichtlich eines in sich abgeschlossenen PDU- 
Stroms verantwortlich ist und daher einen OTEFSM-Modultyp fur den FollowSM-Analysator 
liefert. Diese Losung fuhrt direkt zum Erfolg, wenn die Spezifikation das ProzeBkonzept 
von SDL benutzt, um die PDUs modellierenden SDL-Signale von einem zentralen Vertei- 
lerprozeB V erzeugen und empfangen zu lassen, der sie weitgehend unverandert an diejenigen 
SDL-Prozesse P { weiterleitet, die fur die einzelnen virtuellen Verbindungen zustandig sind. 
In diesem Szenario werden die P { zu OTEFSM-Modulen, wahrend vom ProzeB V vollstandig 
abstrahiert werden kann. Dieser Fall gilt in Reinform beispielsweise fur das ITU-Protokoll 
Q.293 1 . Die ProzeBstruktur der SDL-Spezifikation dieses Protokolls ist in Figur A.28 wieder- 
gegeben. Die grau unterlegten Prozesse werden zu OTEFSM-Modulen des Analysators. 

Fur die Information, welche Signale PDUs reprasentieren und welche Prozesse zu OTEFSM- 
Modulen zu iibersetzen sind 5 erwartet der Ubersetzer die folgenden drei Signallistendeklara- 
tionen in der Spezifikation. In Bezug auf die Prozesse ist diese Deklaration nicht semantisch 
korrekt im Sinne von SDL, was bei dieser Spezialanwendung aber nicht stort: 



system <name>; 



signallist PROCESSES 
signallist INPDU 
signallist OUTPDU 



= <name> t ...,<nanrie>; 
=Xname> ( ...,<name>; 
= <name>,...,<name>; 
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endsystem; 
Ubersetzung der Transitionen 

Nach MaBgabe der Semantik von SDL bzw. des OTEFSM-Modells konnen die SDL- 
Transitionen direkt in OTEFSM-Transitionen iiberfuhrt werden. Allerdings gelten strengere 
Regeln fur den Aufbau von OTEFSM-Transitionen, so daB eine SDL-Transition haufig in 
mehrere OTEFSM-Transitionen zerlegt werden muB. Die strengeren Regeln fur OTEFSM- 
Transitionen sind insbesondere: 

• Hochstens eine Ein- und Ausgabe pro Transition. 

• Hochstens ein Zeitgeber fur die Auslosung einer zeitabhangigen Transition. 

• Zustandsabhangige Bedingungen miissen in . der Vorbedingung der Transition zusam- 
mengefaBt sein, in der Zustandsuberfuhrungsfunktion diirfen sie nicht vorkommen. 

• Keine Sprunganweisungen und Marken. 

Im folgenden werden die erforderlichen Transformationsregeln fur SDL-Transitionen mifcHil- 
fe von SDL/GR-Diagrammen dargestellt. Resultierende SDL-Transitionen, die die obigen Re- 
geln erfullen, lassen sich anschlieBend unmittelbar in OTEFSM-Transitionen umformeri.f 

Transitionen mit mehreren Stimuli, d. h. mehr als einer auslosenden Eingabe-PDU oder mehr 
als einem auslosenden Zeitgeber, werden in je eine eigene Transition pro Stimulus umgewan- 
delt (Regel Rl , siehe Figur A.29). 

Transitionen mit mehreren Ausgaben miissen in ahnlicher Weise expandiert werden". Weil die 
dabei erzeugten neuen Transitionen nicht nebeneinander betrachtet, sondem nacheinander 
ausgefuhrt werden miissen, ist es erforderlich, neue Zustande einzufuhren, die die Transi- 
tionen verketten. Im OTEFSM-Modul werden die Folgetransitionen als unmittelbare Transi- 
tionen realisiert, die vom neuen Zwischenzustand aus unbedingt schalten (Regel R2, siehe 
Figur A.30). 

Verzweigungen in Transitionen miissen in die Vorbedingung vorgezogen werden, woraus pro 
Verzweigungsast eine eigene Transition resultiert (Regel R3, siehe Figur A.31). Dabei miissen 
zusatzlich die Bedingungen angepaBt werden, damit sich die Semantik nicht andert, wenn die 
Transition vor der Verzweigung Anderungen an einer Variablen vornimmt, die in der Verzwei- 
gungsbedingung vorkommt. Figur A.32 verdeutlicht dies an einem Beispiel. 

Sprunge zu Sprungmarken miissen durch den Transitionstext am Sprungziel ersetzt werden, 
da es keine Sprunge in OTEFSMs gibt (Regel R4, siehe Figur A.33). 

Der Fall, daB eine Verzweigung hinter einer Marke auftritt, wird gesondert behandelt, um 
einerseits die Anzahl der erzeugten OTEFSM-Transitionen zu reduzieren und andererseits 
Schleifenkonstruktionen zu erlauben, bei denen eine reine Expansion der Transitionen nach 
den Regeln R3 und R4 nicht terminieren wiirde (Regel R5, siehe Figur A.34). Das Problem 
der Nichttermination tritt auf, wenn hier fur Ml und M2 dieselbe Marke auftritt. Dieser Fall 
einer Schleife ist beispielhaft in Figur A.35 dargestellt. 



74 



KAPITEL3. SPURANALYSE 



Bei der Ubersetzung der Variablen der SDL-Spezifikation muB der Ubersetzer entscheiden, in 
welchen Fallen unsicherheitsbehaftete Zustandsvariablen der OTEFSM resultieren und wann 
es sich nur urn Hilfsvariablen der Zustandsuberfuhrung handelt. Solche Hilfsvariablen wer- 
den direkt in C++- Variablen iibersetzt, da jede unnotige VergroBerung der unsicherheitsbehaf- 
teten Zustandsbeschreibung einen Mehraufwand bei den zu speichernden Zustandsobjekten 
verursacht. AuBerdem fuhrt eine Auftiahme in die Zustandsbeschreibung ixberflussigerwei- 
se zur Anwendung der komplizierten Auswertungsregeln fur logische Ausdriicke (vgl. Ab- 
schnitt 3.3.1) sowie zur Anwendung der Transformationsregel R3, sobald die Hilfsvariable in 
einer Bedingung vorkommt. Das Kriterium fur eine nicht zustandsrelevante HilfVariable h ist, 
daB in jeder Transition, in der h vorkommt, das erste Auftreten von h ein schreibender ZugrifF 
ist, also eine Zuweisung an h. 

Manuelle Nachbearbeitung 

Die bereits erorterten Liicken in der automatischen Ubersetzung rmissen durch eine anschlie- 
Bende manuelle Nachbearbeitung des OTEFSM-Programmtextes geschlossen werden. Dar- 
unter konnen folgende Arbeiten fallen: 

• Strukturelle Anderungen, urn mehrere Prozesse der Spezifikation zusammenfassen zu 
konnen, wenn keine l:l-Beziehung zwischen SDL-Prozessen und notigen OTEFSM- 
Modulen herstellbar ist. 

• Festlegung der Reprasentationsraume der Zustandsvariablen durch Wahl der entspre- 
chenden Datentypen. 

• Erganzung der konkreten Zeitgeberzeiten und Toleranzintervalle. 

• Realisierung von KompromiBlosungen unter Verzicht auf Vollstandigkeit aus Effizienz- 
griinden oder wenn die Operationen in der SDL-Spezifikation nicht mit Hilfe der vor- 
handenen Unsicherheit modellierenden Datentypen nachbildbar sind. 

Da die konkrete Transfersyntax der PDUs nicht in SDL beschrieben werden kann, wird au- 
Berdem das Dekoder-Modul des Analysators manuell entworfen. 

Trotz der erforderlichen manuellen Nachbearbeitung reduziert sich der Gesamtaufwand fur 
die Entwicklung eines protokollspezifischen FollowSM- Analysators dank des SDL-Uberset- 
zers groBenordnungsmaBig auf ein Viertel der Zeit fur den komplett manuellen Entwurf. 

3.4.4 Implementierung 

Der Ubersetzer ist in C implementiert. Dabei wurden auBerdem ein im Rahmen des SITE- 
Projekts an der Berliner Humboldt-Universitat entwickelter SDL-Parser [Lut93] und das 
an der Universitat Twente entwickelte ,JMeta-Toor Kimwitu [vE + 93] verwendet, das die 
Konstruktion und Manipulation . von Baumstrukturen, anhand von Quelltext komfortabel 
ermoglicht. 
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3.5 Praktische Anwendung 

Dank einer Zusammenarbeit mit GMD-Fokus ergab sich die Moglichkeit, den FollowSM- 
Analysator im „Online"-Betrieb einzusetzen. 

3.5.1 Versuchsaufbau 

Figur A.36 illustriert den Versuchsaufbau. Der zu messende Verkehr entsteht durch die 
ausfuhrbare SSCOP-Testsuite {executable testsuite, ETS) auf dem Protokolltester K1297 von 
Siemens. In der ETS werden der IUT sowohl protokollkonformes Verhalten prasentiert als 
auch, urn die Fehlerbehandlungsprozeduren zu testen, Falle mit ProtokollverstoBen. Damit 
bietet dieser MeBaufbau einen wesentlich hoheren Uberdeckungsgrad im Hinblick auf die 
verifizierbaren Protokollprozeduren als irgendeine reale Kommunikationsverbindung. 

Die Gegenseite bildet eine SSCOP-Implementierung. Hier standen ein Switch von FORE so- 
wie ein prototypischer Protokollstapel von CSELT zur Verfiigung. Das eingezeichnete Kanal- 
Multiplexing per Umsetzung der VPCIs {virtual path connection identifier, Bezeichner der 
virtuellen Pfadverbindung) ist erforderlich, weil die auf dem Arbeitsplatzrechner eingesetzte 
ATM-Karte (SBA200 von FORE) iiber nur einen Eingang verfugt. 1 * 

3.5.2 MeBsituationen 

Da der FollowSM-Monitor zu jeder Zeit nur das korrekte Ein-/Ausgabeverhalten einer der be- 
teiligten Instanzen untersucht, ergibt der Versuchsaufbau zwei grundsatzlich unterschiedliche 
MeBsituationen: 

1 . FollowSM untersucht das Verhalten des K1297. In diesem Fall sollte der Monitor genau 
die von der ETS injizierten Fehler als ProtokollverstoBe melden, wahrend die Testfalle 
mit protokollkonformem Verhalten als korrekt beurteilt werden sollten. 

2. FollowSM untersucht das Verhalten der SSCOP-Implementierung. In diesem Fall fuhren 
die injizierten Fehler nicht zu Fehlermeldungen von FollowSM. Statt dessen priift der 
Monitor die protokollkonforme Fehlerbehandlung seitens der Implementierung. Sofern 
die Implementierung also protokollkonform arbeitet, sollte FollowSM keinerlei Fehler 
melden. 

AuBerdem kann das FollowSM-Resultat mit den Ergebnissen der Testsuite fur die ein- 
zelnen Testfalle verglichen werden: Wenn die Implementierung fehlerhaft ist, sollten 
genau die von der Testsuite festgestellten VerstoBe auch von FollowSM erkannt werden. 

Im Hinblick auf eine sinnvolle Einsetzbarkeit im „Online"-Betrieb sind die Rechenzeiten fur 
die Fehleranalyse von besonderem Interesse. Daher wurde der Monitor urn die Funktion er- 
weitert, den Anteil der inaktiven Wartezeit des Monitorprozesses auf neue PDUs an der ge- 
samten MeBdauer zu ermitteln. 
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3.5.3 Ergebnisse 

Die Ergebnisse der durchgefuhrten Experimente werden hier gegliedert in die Ergebnisse bei 
der Erkennung von Protokollfehlern und die Ergebnis in Bezug auf die Rechenzeit. 

Resultate der Messungen 

Herausragend zu erwahnen ist die Messung einer Testfallsequenz mit 186 PDUs und ca. 34 s 
Dauer, in der die ETS zwei Falle mit t fail" bewertete, FollowSM '] edoch keinerlei Proto- 
kollverstoB erkannte. Eine manuelle Analyse ergab, dafl das vorliegende Verhalten in der Tat 
protokollkonform ist, die ETS in einem relativ komplizierten Fall j edoch eine falsche Akzep- 
tanzbedingung fur einen PDU-Parameter formuliert. Dieser Versuch hat also einen Fehler in 
der ETS aufgedeckt. 

Zeitverhalten 

Der Zeitaufwand des Analyse-Algorithmus blieb wahrend der Experimente stets unkritisch 
fur den „Online"-Betrieb. Tabelle 3.4 zeigt drei Beispiele fur die Rechenlast der verwende- 
ten SPARCstation 10 beim „Online" -Monitoring, gemessen am Wartezeit-MeBzeit-Verhalt- 
nis. Unter CPU-Zeit ist auBerdem die reine Prozefi-Rechenzeit bei einer „Offline" -Analyse 
der PDU-Sequenzen auf einer SPARCstation 5 vermerkt. 

Man sieht deutlich, wie die bei steigender Fehlerzahl erforderlichen Zustandsrekonstruktionen 
die RecJienzeit verlangern. Aber selbst der ungunstige Fall 3, wo gerade zum Erreichen einer 
hohen Fehlerzahl nicht die Implementierung, sondern der Tester ,,^6^1116*' wird, erzeugt 
keine nennenswerte Belastung des Rechners. 

Dennoch ist dieses Ergebnis relativiert zu sehen, denn es ruhrt auch daher, daB der Tester bei 
der Ausfuhrung der Testsuite sehr langsam ist und daB es in den Testfallen zwangslaufig auch 
Wartezeiten auf Zeitgeber gibt. Praktisch laBt sich eine Daumenregel von etwa 200 bis 400 
analysierten PDUs pro Sekunde, je nach Fehlergehalt der Kommunikation, fur die eingesetzte 
Hardware ablesen. 
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SDL 


OTEFSM 


Abhangigkeit zwischen den Zustanden 
mehrerer Prozesse 


Toleranzbereich fur die Beobachtungs- 
zeitpunkte der Ausgabenachrichten 


Explizite Prozeflerzeugung und 
-terminierung 


Zeitgeber mit Ablaufintervallen statt 
-zeitpunkten 


beliebig viele Ein- und Ausgabekanale 
des Gesamtsystems 


Kompromifientscheidung hinsichtlich der 
Modellierung von Unsicherheit 



Tabelle 3.3: Vergleich von SDL und dem OTEFSM-Modell anhand von Systemaspekten, die 
nur in einem der beiden Formalismen darstellbar sind. 



to" 



Nr. 


iiberwachte 


PDUs 


MeBdauer 


Fehler 


inaktiv 


CPU-Zeit, 




Instanz 




■ [s] 




[%] 


Sparc5 [s] 


1 


CSELT 


187 


70 


0 


99,0 


0,44 


2 


FORE 


215 


30 


2 


97,8 


0,50 


3 


1297 


187 


60 


56 


96,9 


1,10 



Tabelle 3.4: Rechnerbelastung beim „Online" -Monitoring. 
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KAPITEL 3. SPURANALYSE 



i 



Kapitel 4 
Protokoll-Lernen 



Im vorangegangenen Kapitel wurde ein Verfahren vorgestellt, das auf der Grundlage einer be- 
kannten Protokollspezifikation ein im Rahmen des Einsatzkontextes moglichst gutes Ergebnis 
bei der Analyse einer zu einem beliebigen Zeitpunkt beobachteten Spur der Protokollabwick- 
lung erzielt. Es wurde deutlich, daB eine voll automatisierte Ableitung des Spuranalysators 
aus einer iiblichen Protokollspezifikation z. B. in SDL nicht erfolgen kann. Daher verursacht 
die Erzeugung eines konkreten Spuranalysators fur ein neues Zielprotokoll einen gewissen 
Aufwand: 

1. Es muB eine vollstandig formale, d. h. nicht mit semantisch relevanten Kommenta- 
ren versehene SDL-Spezifikation des Zielprotokolls vorliegen. Wenn mehrere Proto- 
kollversionen oder nur eine bestimmte Protokollversion mit genau festgelegten PICS- 
Parametern auf dem beobachteten Kommunikationskanal ablaufen diirfen, miissen alle 
diese Versionen bzw. die exakte Parametrisierung in der Spezifikation beschrieben sein. 

2. Aufgrund der geschilderten Berechenbarkeitsproblematik und der beschriebenen Zu- 
satzanforderungen der passiven Spuranalyse ist eine zusatzliche manuelle Bearbeitung 
des OTEFSM-Modells erforderlich, das den Analysator spezifiziert. Der Umfang und 
die Fehleranfalligkeit dieser Nachbearbeitung hangen vom Charakter des Zielprotokolls 
und seiner Spezifikation in SDL ab. Schlimmstenfalls ist hier noch echte Entwicklungs- 
arbeit zu leisten, gefolgt von den dann erforderlichen Tests der resultierenden OTEFSM- 
Spezifikation („Testen des Testers"). 

Um diesen Aufwand bei der Analysatorerzeugung vollstandig zu eliminieren, wird in diesem 
Kapitel der zweite Ansatz dieser Arbeit entwickelt: Ein Lemverfahren, das den Analysator 
nicht aus einer allgemeinen Beschreibung des Protokolls ableitet, sondem aus Beispielen der 
korrekten Abwicklung des Zielprotokolls. Die vorliegende Lemaufgabe und der Einsatzkon- 
text eines solchen Systems wurden bereits in Abschnitt 2.2.2 informell dargestellt. 

Im nachsten Abschnitt erfolgen zunachst die Formalisierung der Lemaufgabe sowie eine Cha- 
rakterisierung des Problems und der moglichen Losungen. AnschlieBend werden die schon in 
Abschnitt 2.2.2 dargestellten zwei Lemphasen und die Anwendungsphase einzeln untersucht 
und Algorithmen dafur entwickelt. Das Kapitel schliefit mit einer Darstellung erster Ergebnis- 
se aus der praktischen Anwendung des lemenden Spuranalysators. 
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KAPITEL 4. PROTOKOLL-LERNEN 



4.1 Theoretische Fundierung . 

In diesem Abschnitt werden.die Eingabe und Ausgabe des Lernverfahrens formal spezifiziert 
und die resultierende Lernaufgabe hinsichtlich ihrer Losbarkeit und der moglichen Qualitat 
des Ergebnisses untersucht. 

4.1.1 Formalisierung der Lernaufgabe 

Bereits in Abschnitt 2.2.2 wurde dargestellt, daB das Lernen von Protokollregeln aus Nach- 
richten, die vollig undekodiert in Form von Bitketten vorliegen, nicht machbar erscheint. 
Grund dafur sind die starke Kontextabhangigkeit der Interpretation vieler Stellen dieser Bit- 
ketten und die ausgepragt semantikorientierte Konstruktion der PDU-Syntax: Um die PDU- 
Struktur als Grundlage funktionsfahiger Protokollregeln automatisch abzuleiten, miiBten be- 
reits zahlreiche Aspekte der Protokollsemantik bekannt sein, die sich aber wiederum nur aus 
dem Zusammenspiel der Protokollregeln erschliefit. Diesen sich selbst blockierenden Kreis 
quasi von auBen zu durchbrechen, ware eine groBe Herausforderung fur zukiinftige Untersu- 
chungen. 

Daher wird — im folgenden Unterabschnitt Vorgabe — eine Dekodierung des Zielprotokolls in 
einer Art Termsprache vorausgesetzt, die die Grundlage fur das Lernverfahren bildet. 

Aus ahnlichem Grund wird als Zielkonzept des Lernvorgangs kein erweiterter endlicher Au- 
tomat in der iiblichen Form verwendet, sondern, wie in Abschnitt 2.2.2 angedeutet, nur ein 
endlicher Automat mit Regeln iiber die Datenfelder einiger aufeinanderfolgender PDUs: Der 
datenerweiterte Protokollzustand ist das Kondensat des Protokollentwurfs. Seine Rekonstruk- 
tion aus einer Beobachtung ist im allgemeinen kein rein symbolischer Vorgang, sondem die 
Ableitung einer Entwurfsidee aus der Gesamtheit der gemachten Beobachtungen. Auch dies 
muB hier als interessantes Fernziel eingestuft bleiben. 

Vorgabe 

Vorgegeben sei die abstrakte PDU-Syntax C des Zielprotokolls als Tripel Q = (E^, E 0 , k): 

• Si ist eine endliche Menge von Symbolen, den Typen von Eingabe-PDUs. 

• E 0 ist eine endliche Menge von Symbolen, den Typen von Ausgabe-PDUs. Es gilt E^ n 
E 0 = 0 9 damit die Richtung einer PDU bereits mit dem Symbol dargestellt werden 
kann. 

• k : E — > N ist eine Funktion, die jedem PDU-Symbol die Stelligkeit seiner Attributie- 
rung zuordnet. 



Im folgenden gilt die Abkurzung 
fur die Gesamtmenge der Symbole. 
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Die Bedeutung dieser Definition ergibt sich, sobald auf ihrer Grundlage die Menge aller PDUs 
11(C) gemaB der Syntax £ festgelegt ist: 

n(C) = n(E,K) = 7 (J{a}xN*( a > (4.1) 
Geschrieben wird eine PDU 7r € 11(C) i* 11 folgenden in der Form a{x x , . . . , x K ( a) ). 
Eingabe 

Eingabe fur den Lernalgorithmus sind eine Folge beobachteter PDUs, p € n(£)*, sowie ei- 
ne FenstergroBe w £ N \ {0}. Das Lehrbeispiel p muB als fehlerfreies Musterverhalten der 
IUT vorausgesetzt werden, da der Lernansatz ja davon ausgeht, daB die Regeln fur korrektes 
Protokollverhalten nicht vorher bekannt sind, so daB 

1. eventuelle fehlerhafte Verhaltensweisen der IUT innerhalb des Beispielablaufs w nicht 
erkannt und herausgefiltert werden konnen und 

2. keinerlei Moglichkeit besteht, Fehlerbeispiele zusatzlich zu erzeugen, weil auch dies 
die Kenntnis der Protokollregeln voraussetzt. 

Wenn das Lehrbeispiel dennoch — entgegen der gemachten Annahme — Fehlerfalle enthalt, 
werden diese unvermeidlich als Teil des vermeintlich korrekten Sollverhaltens gelernt. 

Die FenstergroBe w beschreibt, iiber wie viele aufeinanderfolgende PDUs Regeln gebildet 
werden sollen, die die korrekte Attributierung der PDUs mit Datenfeldinhalten wiederspiegeln 
(vgl. Abschnitt 2.2.2). 

Ausgabe 

Als Ausgabe des Lernvorgangs soli ein endlicher Automat A iiber dem Alphabet £ erzeugt 
werden, dessen Zustande mit Datenfeldregeln attributiert sind. Formal ist dieser Automat ein 
Sextupel A = (E, k, w, 5, 6, w): 

• E, k, w sind die oben spezifizierte Beschreibung der PDU-Syntax und die FenstergroBe 
fur die Datenfeldregeln. 

• S ist die endliche Menge der Zustande des endlichen Automaten iiber den PDU-Typen. 

• 5 C S x E x S ist die Zustandsiibergangsrelation des endlichen Automaten fiber den 
PDU-Typen. 

• u) : S P II(E, k) w ist die Attributierung der Zustande des Automaten mit einem 
Pradikat, das die zulassigen Datenfeldinhalte der w Elemente langen PDU-Sequenzen 
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zu dem jeweiligen Automatenzustand angibt. Fur diese Attributierung gilt folgende syn- 
. taktische Kontextbedingung: ■ 

' vi s s, («,(*};.;, -.rt..-. lB .(ii,..-; ,^- ) )) €«(«) 

):( ' it;— 1 5 Gun S} E 8 

D. h. ? daB die Knotenattributierungen im Zustandsgraphen des Automaten sich immer 
auf Transitionspfade beziehen, die im jeweiligen Knoten enden. 

Im Rahmen der Lernaufgabe gibt es nun die uber die obigen syntaktischen Bedingungen hin- 
ausgehende Forderung an A, daB A die Beobachtung p = p\,p 2 , - • • ,Pi vollstandig erklart. 
Formal muB die folgende Aussage bc{A, p) erfiillt sein: 

bc(A,p)*T3(r 0 ,r 1 ,...,ri)e5j l 

(r 0 ,ap l ,r 1 ) J (ri J ap a ,r 2 ),... , (r t - U a Pn n) e 5 A 
A View.. I (Pt-«,+i,-... ,Pt) €w A (rt) (4.2) 

Airwendung 

In der Anwendungsphase der erlernten Protokollbeschreibung A wird eine neue Beobachtung 
p auf ihre Erklarbarkeit mit dem gelernten Automaten hin untersucht. 

Gegeben: p.G 11(C)*. 

Gesucht: Wahrheitswert der Aussage bc(A, p) (4.2). ^ 
4.1.2 Charakterisierung der Lernaufgabe 

Nach der nun erfolgten Formalisierung der Lern- und Prufaufgabe lassen sich Aussagen zur 
Losbarkeit des Lernproblems und zur Eindeutigkeit der Losung machen. 

Weil keinerlei negative Beispiele zur Verftigung stehen, hat ein Lernalgorithmus bei der 
Losung dieser Lernaufgabe eine sehr groBe Freiheit. Diese bewegt sich zwischen einer Proto- 
kollbeschreibung A min , die ausschlieBlich die beobachtete PDU-Folge zulaBt, und einer Pro- 
tokollbeschreibung A max , die alle Verhaltensweisen im Rahmen der PDU-Syntax £ akzeptiert. 
Die Figuren A.37 und A.38 stellen diese beiden Extreme grafisch dar fur das Lehrbeispiel 
a(17), 6(17, 42), c(59) und eine FenstergroBe w = 2. Beide Ausgaben sind in jeder Hinsicht 
korrekte Losungen der Lernaufgabe!. 

Man erkennt daran, daB die Lernaufgabe fur beide Teilprobleme, den endlichen Automaten 
der PDU-Typen und das Regellernen fur die Datenfelder, nur heuristisch gelost werden kann. 
Auch das Kriterium der minimalen Beschreibungslange (minimum description length, MDL 5 
z B. [KMU95]) fur A fuhrt nicht weiter, weil es in Abwesenheit von Negativbeispielen immer 
die unbrauchbare Antwort A max erzwingt. 

Daraus folgt, daB es eine einzige richtige Losung dieser Aufgabe nicht geben kann. Bereits 
anhand der Aufgabenstellung laBt sich also ablesen, daB derYerzicht auf eine von auBen vor- 
gegebene Protokollspezifikation einen KompromiB hinsichtlich der erreichbaren Qualitat der 
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Spuranalyse erzwingt. Die mit dem Lemansatz im folgenden erzielten Ergebnisse miissen je- 
derzeit relativ zu dieser grundlegenden Einschrankung bewertet werden. Es bleibt nichtsdesto- 
weniger eine interessante Fragestellung, was innerhalb des nunmehr abgesteckten Rahmens 
erreichbar ist. 

In Abschnitt 2.1.4 wurde bereits festgestellt, daB sich kein bekanntes Lemverfahren unmittel- 
bar fur das Problem des Protokollernens eignet. In den folgenden Abschnitten werden daher 
heuristische Lernalgorithmen fur die beiden Phasen der Lernvorgangs eritwickelt, die sehr 
speziell auf das vorliegende Problem zugeschnitten sind. . . 



4.2 Algorithmic zum Regellernen 

In diesem Abschnitt wird der Lernalgorithmus fur die Phase des Regellernens iiber die PDU- 
Datenfelder vorgestellt. Dieser Lernalgorithmus ist zwar fur den Protokollkontext entwickelt 
worden, kann von seiner Spezifikation her aber auch allgemein betrachtet werden. Er tragt 
den Namen L^i? GiT- Algorithmus (fur learning arithmetical rules from good examples, Lernen 
arithmetischer Regeln aus Positivbeispielen). 

4.2.1 Spezifikation 

Zunachst wird die elementare Lemaufgabe fur den L^i?G£-Algorithmus beschrieben. Im 
Kontext des Protokollernens handelt es sich dabei urn das Erlernen einer Regel fur die Da- 
tenfelder einer ganz bestimmten Kombination von w PDU-Typen ai € E an einem Zustand 
s G S des Automaten. Die Spezifikation der Ausgabe von LARGE umfaBt natiirlicherweise 
die Definition der Hypothesensprache, die der Algorithmus verwendet. 

Eingabe ( 

Eingabe E fur LARGE ist eine Menge von m Attributvektoren mit je n Komponenten, die 
Trainingsmenge : 

£cff |£|=m>0 A n>0 

Diese einfache Struktur der Eingabe wird dadurch ermoglicht, dafi die Auswahl einer festen 
PDU-Sequenz entsprechend der FenstergroBe alien Attributen eine feste Position in den Bei- 
spielvektoren verleiht. Im obigen Fall mit dem Lehrbeispiel a(17), 6(17, 42), c(59) ergibt sich 
ein einziger Attributvektor: E = {(17, 17, 42, 59)} 

Ausgabe 

Schon in Abschnitt 2. 1. 4 wurde ausgefiihrt, daB arithmetische Zusammenhange zwischen den 
Datenfeldinhalten benotigt ^Yerden, urn korrektes Protokollverhalten zu charakterisieren. Um 
solche komplexen Regeln kompakt darstellen zu konnen, verwendet LARGE eine spezielle 
Form funktionsfreier Hornklausellogik, also DATALOG, als Hypothesensprache L. 
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Jede Hypothese H EL ist eine Menge von Klauselri 

H ^ {ex;..: ;c k }: 

Jede Klausel hat die Form 

d = ok(vi,... ,v n ) h c*i/. ,/? p . 

Dabei steht das ok-Pradikat fiir „Attributvektor ist regelkonform". Die Variablen v l3 . . . , ^ n 
werden mit den Attributwerten eines Beispielvektors aus der Trainingsmenge E identifiziert. 
Fiir die Atome a* (1 < i < q) der Klausel gibt es folgende Moglichkeiten: 



mull: 






^neu 


= Vj • K r 


K.ez\{o} 


divl: 


divl(v neU9 vj,K) 




^neu 


= Vj/K, 


K e z\{0} 


mul2: 


mul2(u n eu, VjjVfc) 




^neu 


= v j( • Vfc 




add2: 


add2(^ neu , Vj, v k ) 




^neu 


= + Vk 




sub2: 


sub2(t7 neu , 




^neu 


= - Vfe 





Hier bezeichnen ^ und „alte" Variablen, die weiter links in der Klausel bereits aufgetre- 
ten sind, v neu ist dagegen eine neue Variable, die durch das jeweilige Atom deterministisch 
festgelegt wird. Im folgenden werden die Atome dieser Typen auch als abgeleitete Attribute 
bezeichnet. Die Atome (1 < i < p) haben dagegen die Form 

const: const , di, cfe) ' d\ < Vj < d^, d\,d 2 € Z 

mit entsprechender Bezeichnungskonvention. Sie legen fest, welche Attributvektqren von der 
Klausel akzeptiert bzw. zuriickgewiesen werden. Die const- Atome werden im folgenden 
Bedingungen oder Prddikate genannt. 

Nach diesem Muster konnen schrittweise aus den Attributen arithmetische Terme gebildet 
werden, bis das Ergebnis eines Terms immer innerhalb eines festen Intervalls liegen muB. 
Atome der Form addl oder subl (Addition/Subtraktion einer Konstanten) sind uberfliissig; 
weil beliebige additive Konstanten in der Bedingung von const vorkommen konnen. 

Fur das schon mehrfach bemiihte Beispiel a(17), 6(17, 42), c(59) konnte eine erlernte Klausel 
z. B. folgendermaBen aussehen, wobei abgeleitete Attribute und Bedingungen zur besseren 
Ubersicht im Zusammenhang gruppiert sind: 

dk{v u v 2 ,v z ,V4) h sub2(v5 5 vi,t;2), 

const (v 5 , 0, 0), 

const (v-j, 0, 0). 

Die semantische Forderung an die von LARGE ausgegebene Hypothese lautet 

H\=E, 

d. h. alle beobachteten Wertekombinationen der Trainingsmenge mussen von der Hypothese 
akzeptiert werden. 
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Jede Klausel beschreibt eine Klasse von Fallen in der Trainingsmenge. Da die Hypothese H 
mehrere Klauseln umfassen kann, sind Disjnnktionen unterschiedlicher Regeln darstellbar. Es 
wird angestrebt, daB jedes Lehrbeispiel e G E genau eine Klausel der Hypothese erfullt, weil 
die Klauseln idealerweise disjunkte Klassen von Situationen beschreiben sollen. Wenn sich 
zwei Klassen iiberschneiden, liegt der Verdacht nahe, daB sie 

1 . noch nicht hinreichend speziell beschrieben sind oder 

2. nicht wirklich unterschiedliche Falle z. B. im Rahmen der Protokollsemantik definieren; 

Allerdings konnen solche Uberlappungen nicht formal ausgeschlossen werden, so daB auch 
Hypothesen mit mehrdeutiger Klassifizierung von Lehrbeispielen prinzipiell zulassig sind. 

4.2.2 Grobalgorithmus 

Die vom L^iJGis- Algorithmus durchgefuhrte Suche im Hypothesenraum muB gleichzeitig 
mehrere Teilaufgaben losen, fur die jeweils unterschiedliche Strategien erforderlicli sind: 

1. Mit Hilfe der Atome mull, divl 9 mull, add! und subl werden schrittweise abgeleitete 
Attribute erzeugt. 

2. Mit Hilfe des Atoms const werden Bedingungen iiber die Attribute der Trainingsmenge 
oder die abgeleiteten Attribute erzeugt, mit deren Hilfe eine Teilmenge derTrairiings- 
menge E als Treffermenge einer neuen Klausel ausgewahlt wird. 

3. Aus den so erzeugten Klauseln werden Klauselkombinationen ausgewahlt, die die ge- 
samte Trainingsmenge akzeptieren und dabei moglichst keine bzw. moglichst wenig 
Uberschneidungen zwischen den Treflfermengen der enthaltenen Klauseln verursachen. 

Im folgenden wird der gesamte L^tiJGjE'-Algorithmus zunachst grob skizziert. Die genaue 
Funktionsweise in Bezug auf die unterschiedlichen Teilaufgaben ist Thema der anschlieBen- 
den Abschnitte. Im Algorithmus und in weiter unten angegebenen Formeln treten einige Pa- 
rameter mit Bezeichnern in GroBbuchstaben auf, die in einem weiteren Abschnitt genauer 
erlautert werden. 



Algorithmus LARGE (E) 

E : Beispieldaten (ui,... ,v n ) aus n Eingabeattributen 

C.bestC : Klauselmenge 
nC : Klausel 

C, bestC <- 0 

Wiederhoie 

neue Klausel 
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nC<-0 ... 
Wahle E f C E durch AusschluB der Treffer einer Klausel c E C 
Wiederhole N-CONDSmz\ 

— neues Pradikat 
Fiir alle Eingabeattribute Vk 
Wiederhole NEWJLTTSma\ 

— neues Attribut 

Sortiere die Attribute vi nach linearer Korrelation corr(£^J3£) 
Suche vuVj mit betragsmaBig groBter Korrelation 
/ «— linearer Regressionskoeffizient coeff(jB^,£ , ^ ; ) . 
Fallunterscheidung nach / 

-1 < eu, <-^ + ^fc 

sonst => ^ eti; <- / • 
Fallunterscheidung nach coefiF(Bj, • coeff(£?J., 
>0 =► u^-^Vi + v,- 
sonst v% ew «- Vi - vj 

v new 4_ v . . v . 

Wahle vf ew nach Korrelation als neues Attribut 

Fiir alle Attribute Vi 

nC£f w ^-nCU min(££) < v. < max(££) 

.nCff™ ^ n Cu^ = a; mit x haufigster Wert in E\ 

nC^l w 4- nC U Vi € Cluster(^) 
nC <- nC?% w mit maximaler Klauselqualitat 
E r <- hits(!B',nC) 

C <-CUnC 
— Klauselauswahl 

Suche beste Klauseln C'CC mit C \= E 
Wenn C" gefunden und besser als bestC 
bestC <- C" 

bis bestC ^ 0 und seit TERM. STEPS Schritten keine Verbesserung 
Ausgabe: Klauselmenge bestC 
Ende von LARGE , ...... 

Der grundsatzliche Ablauf des Algorithmus ist der folgende: Es wird eine Liste C von Klau- 
seln verwaltet. Pro Durchlauf der Hauptschleife wird jeweils eine neue Klausel nC schrittwei- 
se konstruiert. Dies erfolgt unter ausschlieBlicher Betrachtung einer Teilmenge E' der Trai- 
ningsmenge. Es werden abwechselnd neue Attribute und neue Bedingungen konstruiert und 
zunC zugefugt. Alle Zwischenergebnisse fur nC werden anhand einer globalen Qualitats- 
funktion auf Klauseln verglichen, das beste Zwisdienergebnis zu C zugefugt. SchlieBlich 
wird gepriift, ob sich ein neues Optimum fur die Auswahl einer Klauselteilmenge bestC aus 
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C ergibt, die alle Trainingsbeispiele akzeptiert. , 
4.2.3 Erzeugung der Attribute 

Bei der Erzeugung der abgeleiteten Attribute besteht das Ziel darin, Terme zu konstruieren, 
die spater einen konstanten bzw. wenig streuenden Wert zur Verwendung in einer Bedingung 
liefern. Als Kriterium zur Steuerung der Termbildung wurde der lineare Korrelationskoeffizi- 
ent Tij zwischen Attributen vj gewahlt: 



Die Idee dahinter ist, daB sich im Falle einer Abhangigkeit wie z. B. v\ = v 2 + ^3 ein vom Be- 
trag her auffallig erhohter linearer Korrelationskoeffizient zwischen v\ und v 2 sowie zwischen 
v x und v z ergibt. Diese Beobachtung stimuliert daher die Neubildung eines Attributs v 2 + v$ 
bei gleichem Vorzeichen der beiden Korrelationskoeffizienten bzw. v 2 — v 3 bei abweichenden. 

Die Attributerzeugung wahlt nacheinander alle v k als potentielle Zielattribute des neuen 
Terms. Die restlichen Attribute Vi werden nach dem Betrag ihrer Korrelation mit v k , r itk , 
absteigend sortiert. Aus den obersten beiden Elementen Vi,Vj 9 die dafur in Frage kommen, 
werden nach folgendem Schema neue Attribute konstruiert: 

• Fur Terme, die anhand des Zielattributs aus einer weiteren Variable gebildet werden, 
wird zunachst der lineare Regressionskoeffizient c k ,i berechnet: 

c M = - K^-M (4.4) 

Sofem Ck f i ganzzahlig gerundet einen Betrag von 1 hat, versucht der Algorithmus, mit 
einem der neuen zweistelligen Attribute v k — bzw. v k + Vi je nach Vorzeichen von c kji 
einen potentiell konstanten Term abzuleiten. Anderenfalls wird das einstellige Attribut 
Vi • c kii als potentiell zu v k ahnlicher Term erzeugt. In beiden Fallen wird die Qualitat 
des neuen Terms mit der Korrelation r ijfc bewertet. 

• Aus den beiden Variablen Vi und vj werden die beiden neuen Attribute vi + Vj oder — je 
nach Vorzeichen der Regressionskoeffizienten — Vi — vj sowie Vi • vj gebildet und jeweils 
mit der Korrelation zwischen dem neuen Attribut und v k bewertet. 

Das hochstbewertete der so gewonnenen Kandidatenattribute wird als neues Attributatom der 
neuen Klausel hinzugefugt. Dies alles geschieht mehrmals pro Zielattribut v k , damit sich auch 
komplexere Terme bilden konnen. 

4.2.4 Erzeugung der Bedingungen 



(Vi-Vi)(Vj-Vj) 



(4.3) 




Zur Erzeugung einer neuen Bedingung, d. h. eines Atoms des ^ Typs const, werden fur alle 
vorhandenen Attribute v t folgende drei Bedingungen gebildet .und versuchsweise der neuen 
Klausel nC hinzugefugt: 
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1. min{£;} < Vi < max{£!}, eine beschreibende Bedingung ohne diskriminierende 
Funktion. 

2. hi < Vi < h u wobei hi der haufigste Wert in E[ ist. Dies ist der Sonderfall einer 
Einzelwertbedingung. 

3. di < Vi < d 2 mit {d 1 ,d 2 ) = Cluster^), die Einschrankung auf ein Teilintervall, 
das mit Hilfe der heuristischen Funktion Cluster zum Auffinden auffalliger Haufungen 
bestimmt wird. 

AnschlieBend wird diejenige neue Bedingung Teil der neuen Klausel, die die globale Qualitat 
der neuen Klausel maximiert. Dies alles geschieht mehrmals pro neuer Klausel. 

Die folgenden beiden Unterabschnitte erklaren die Cluster-Suche und die Klausel-Qualitats- 
funktion naher. 



Heuristische Cluster-Suche 

Bei der Auswahl eines Teilintervalls von Werten innerhalb aller vorkommender Werte fiir ein 
Attribut kann der Z^^G^-Algorithmus ja nicht auf Klassenkennzeichen zuriickgreifen, wie es 
bei Verfabxen nach dem Paradigma des iiberwachten Lemens moglich ware. Das einzige Kri- 
terium fur LARGE ist das Auftreten auffalliger Haufungen von Werten. Eine solche auffallige 
Haufung ist rein anschaulich gegeben durch ein Intervall von Werten eines Attributs, inner- 
halb dessen relativ viele Beispiele liegen, aufierhalb dessen Grenzen die Beispieldichte jedoch 
stark abnimmt. f^.- 

Die heuristische Cluster-Suche erfolgt auf der Menge der in E[ vorkommenden Attributwerte. 
Die gesuchte auffalligste Haufung ist gegeben durch dasjenige Intervall [d x ; d 2 ], d u d 2 € E\, 
das den Hdufungsquotienten q maximiert: 

q d g minR ~ max{d 0 |d 0 € E[ A dp < d x }, min{d 3 |rf 3 £ E[ A d 3 > d 2 } - d 2 } 

max{d R - d L ^ < d L < d R < d 2 A ]d L ; d R [ D E[ = 0} (4 - 5) 
Der Zahler dieses Bruchs bezeichnet die Breite der kleineren Lucke unmittelbar Jinks" bzw.v 
,jechts" neben dem fraglichen Intervall d 2 ], in der sich keinerlei Werte des Attributs be- 
finden, wahrend der Nenner die Breite der groBten wertefreien Lticke im Innern des potentiel- 
len Haufungsintervalls bezeichnet. Im Zahler soli der jeweilige Term im auBeren Minimum- 
Operator entfallen, sobald das rf 2 ]-Intervall am Rand des Wertebereichs liegt und daher 
keine gultiges d 0 bzw. d 3 existiert. 

Zusammengenommen liefert q das Verhaltnis aus der Grenzscharfe des Haufungsintervalls 
und seiner Kompaktheit, also ein gutes MaB fur eine „auffallige" Haufiing. Figur A.39 zeigt 
ein Beispiel fur die Berechnung von q anhand des Histogramms eines Attributes. Man beachte, 
daB penodische Histogramme wie in diesem Beispiel bei ganzzahligen Attributwerten leicht 
aufgrund von Multiplikationen auftreten konnen. Die Idee der Cluster-Suche besteht darin, 
die zu einer Klasse von Fallen gehorenden Werte innerhalb der gesamten Wertemenge E'- 
auszumachen. 1 

Entscheidend ist, daB das Auffinden des Haufungsintervalls mit maximalem q effizienter als 
durch erschopfende Suche moglich ist, die aufgrund der zwei Intervallgrenzen quadratischen 
Aufwand in der Machtigkeit der Wertemenge hatte! Dazu dient das folgende Theorem 6 
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Theorem 6. Sei ]d/,; d#[ die grofite Lucke innerhalb des Wertebereichs E[ t 

]d L \ d*[ n ^ = 0 A d R - d L = max{6 - a\ ]a; b[ n E\ = 0}. 
]<2l; d R [ liegt aufierhalb eines Intervalls \d\ \ d 2 ] *nit d u d<i G das q maximiert: 

d>L,d R £ ]d x ;d 2 [ 

Beweis: Seien q L der Haufungsquotient zu [min{jEJ}; d/,] und 3* der Haufungsquotient zu 
irgendeinem Intervall [di; d 2 ], in dem ]djr,, d^f enthalten ist. Es gilt 

d R — djr, . » * . 

9l = — r nut A/ < d R — d L 

A/ 

A q* = — ' mit A A <d R — d L 

d R — d L d R — d L 
=> 9l = — -r > ^ 7- = 1 > -T- = Q - 

Also ist [min{ jEJ}; ein Intervall, in dem jd^; d^[ nicht enthalten ist, und mindestens den 
gleichen Haufiingsquotienten liefert. Das maximale q kann also immer mit einem Intervall 
erreicht werden, das ]d L \ d R [ nicht enthalt. t □ 

Dieses Theorem nutzt die Prozedur Cluster aus, indem sie den Wertebereich in die zwei Tei- 
le links und rechts der grofiten Lucke aufteilt, q fur diese Teilintervalle berechnet und sich 
rekursiv fur jeden der beiden Teile erneut aufruft: 

Prozedur Cluster(a,6) 

Wenn a = b Dann fertig 

Suche groBte Lucke ]L;i?[ innerhalb [a;b] 
Berechne q(a^b) anhand und AuBenrander 

Cluster (a, L); Cluster b) 

Ende von Cluster 

Das Vermerken der Intervallgrenzen fur den maximalen Haufiingsquotienten wurde hier weg- 
gelassen. Der mittlere Aufwand fur Cluster sinkt durch diese Implementierung auf 0(n logn) 
in der Machtigkeit der Wertemenge. 

Klausel-Qualitatsfunktion 

Fur die Bewertung der Qualitat einer Klausel wurde eine Klausel-Qualitatsfunktion Q : K — » 
N definiert, wobei K die Menge der moglichen Klauseln bezeichnet. Q wird zu drei verschie- 
denen Zwecken innerhalb LARGE verwendet: 

1. Um bei der Konstruktion neuer Bedingungen die fur die neue Klausel jeweils beste zu 
bestimmen (vgl. Abschnitt 4.2.4). 
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2. Um von den p Zwischenergebnissen 

• 'ok(u r , ... ,v n ) h ... 

ok(v 1: ... ,v n ) h ... ,&,/3 2 . ■ ■ 

ok(v u ... ,v n ) h ... ,p u p2,... ,P P . 

das beste als tatsachlich in der Klauselliste C zu behaltende neue Klausel auszuwahlen 
(vgl. Abschnitt 4.2.2). 

3. Um bei der Klauselauswahl fur die auszugebende Hypothese (siehe nachster Abschnitt) 
die besten Klauseln aus C mit geeigneter Klassifizierung der Trainingsbeispiele zu 
wahlen. 

Aufgrund dieser Anwendungen von Q ist es entscheidend, daB Q(c) jede Klausel einzeln 
bewertet, ohne Rucksicht auf die Akzeptanzmengen der anderen Klauseln oder den Beitrag 
von c zu einer vollstandigen und iiberlappungsfreien Akzeptanz der Trainingsmenge. 
Sei c eine Klausel 

c = tik(v u . . . , O h Ql , . . . , ag , /3 U . . . , /3 p ., 

mit deri Bedingungen A. Die Atome a { , die die abgeleiteten Attribute bilden, spielen fur 
die Berechnung der Klauselqualitat keine direkte Rolle, sondern definieren nur zusatzliche 
Attribute, auf die in den zugegriffen wird. AuBerdem bezeichne T c C E die Treffermenge 
der Klausel, 

T c d M {e e E\c \= e}, 
und TiQ E die Treffermenge der Bedingung 

Ti d M { e e E\Pi f= e} mit 1 < i < p. 
Die Klauselqualitat Q(c) ist deflniert als 

def 

Q(c) = 100 • attr * rej + compl. (4.6) 
Die einzelnen Komponenten berechnen sich wie folgt: 

- • attr (fflr attraction, Auffalligkeit) ist ein MaJ3 fur die mittlere AufFalligkeit der von 
den einzelnen Bedingungen ausgewahlten Werte des jeweiligen Attributs innerhalb der 
vorkommenden Werte. Seine Definition ist: 

1 p 

attr = 7 - min{99; 99 • att(A)}. 

Die Bewertungsfunktion att fur die einzelnen Bedingungen unterscheidet zwischen den 
folgenden drei' Fallen: 
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def 

1. p.=z const (v s , d, d) wahlt einen Einzelwert d aus: Seien T* = T x n . . . fl die 
Treffermenge der Klauselbedingungen vor fa, N{w) die absolute Haufigkeit des 
Wertes w im Attribut v s in T* 9 also 



M™) = \{j\(T*)*=w}\, 

und iV* die Anzahl der ubrigen Einzelwerte, deren Auftretenshaufigkeit in T* den 
Bruchteil SINGLE -EXCEL &qt Haufigkeit von d erreicht oder uberschreitet: 



N* d M \{ w e Z\N(w) > SINGLE. EXCEL • N(d)}\ - 1 



Dann ist 



*tt(ft\ d — STNCI F F max {fo 1 ~ COMPARE -F ■ N*} 
att(A) - SINGLE.F , + loglo{ \ T ^ / N[d)) • 

Im Zahler des Bruchs steht ein MaB fur die Anzahl sonstiger Einzelwerte, die 
„fast so off ' wie d auftreten, und im Nenner fur den Anteil der von fa ausgewahl- 
ten Beispiele an der noch ubrigen Treffermenge. Im Idealfall wird N* = 0 und 
N(d) = \T*\, der Bruch also zu 1. 

2. Sonst, wenn fa = const (v s , di, d 2 ) ein Intervall auswahlt und dabei Beispie- 
le ausschlieBt, also Ti n . . . n 7* ^ T*: Bezeichne TV** die Anzahl der ubri- 
gen Intervalle, deren logarithmisch bewerteter Haufungsquotient den Bruchteil 
CLUSTER-EXCEL der Bewertung von [di; d 2 ] erreicht oder uberschreitet: 

TV** d M w ) e t; 2 | log 10 q [v - M > CLUSTER-EXCEL - log 10 q [di;d2] }\ - 1 

Damit berechnet sich 

att(&) ^ CLUSTER-F . max{0; log 10 g[di;(fa j} 

• max{0; 1 - COMPARE. F • TV**} 

mit <? jeweils als dem Haufungsquotienten gemaB (4.5) auf der Beispielmenge T*. 
Der zweite wax-Term begrenzt auch hier die Bewertung fur Bedingungen, die eine 
von vielen „fast gleichguten" Auswahlen treffen. Die Berechnung von TV** erfolgt 
tatsachlich wahrend der rekursiven Ausfuhrung der C/wster-Prozedur und verur- 
sacht daher nur n log n Aufwand. Das ist zulassig, weil alle von der Berechnung 
ausgeschlossenen Vergleichsintervalle einen Haufungsquotienten von hochstens 1 
haben (siehe Beweis von Theorem 6) und daher nur fur Intervalle \d\ \ d 2 ] eine 
Rolle spielen wtirden, die ohnehin mit 0 bewertet werden. 

3. Sonst, wenn ^ 3 T* } d. h. fa ~ const (v s , d u d 2 ) das voile Werteintervall seines 
Attributs akzeptiert, gilt: 

att(A) = FORCED • (FULL.F0 + FULL.F/log l0 (d 2 - d x + 1)) 

Es werden also schmalere Intervalle gegenuber breiteren belohnt, wobei der Para- 
meter FULLJFO eine breitenunabhangige Grundbewertung modelliert. FORCE -F 
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ist ein dynamischer Parameter, der verwendet wird, um die Termination von 
LARGE sicherzustellen: Wenn die Ahzahl der gebildeten Klauseln ihr Maximum 
CLAUSES MAX erreicht hat, ohne daB alle Trainingsbeispiele akzeptiert sind, 
wird FORCE J? von initial 1 schrittweise erhoht, um Klauseln zu bevorzugen, die 
wenig Beispiele ausschlieBen. 

rej (fur rejections, Ablehnungen) gibt an, wie viele Bedingungen der Klausel im Mittel 
pro abgelehntem Trainingsbeispiel unerfullt sind: 



Bei Klauseln, die nur eine Bedingung haben und Beispiele ausschlieBen, ergibt sich 
immer der Wert 10. rej nimmt zu, wenn die von der Klausel akzeptierte Beispielklasse 
durch mehrere verschiedene Bedingungen, also redundant, definiert wird. Solche Red- 
undanz in den Klassifikationregeln wird als Argument daftir verstanden, daB die ge- 
fixndenen Klassengrenzen mit Auffalligkeiten innerhalb der Trainingsmenge uberein- 
stimmen. Figur A.40 stellt diesen Aspekt grafisch dar: Im Figurteil a lassen sich die 
im eingezeichneten Rechteck liegenden Punkte durch jede der beiden Bedingungen /?i 
und p 2 bereits weitgehend klassifizieren, die Klassifikation durch /? x und p 2 ist teilwei- 
se redundant. Im Teil b ist die Beispielhaufung innerhalb der von c definierten Klasse 
weniger auffallig, es sind beide Bedingungen erforderlich. Die Werte rej = 17 bzw. 
rej = 13 geben an, daB die nicht zur von c definierten Klasse gehorenden Beispiele im 
Mittel durch 1, 7 bzw. 1, 3 const-Atoms in c abgelehnt werden. 

Fur Klauseln, die nicht diskriminieren, sondem die gesamte Trainingsmenge beschrei- 
ben, kann kein MaB fur die abgelehnten Beispiele errechnet werden. Dieser Fall T c — E 
sollte idealerweise immer dann eintreten, wenn alle Beispiele tatsachlich derselben 
Klasse zugeordnet werden konnen — die Klassenzahl ist dem LARGE- Algorithmus ja 
nicht vorgegeben. Diese Klauseln werden mit einem Vergleichswert bewertet, der ei- 
nerseits proportional zur Klausellange ist, weil ja auch die erzielbare Redundanzbe- 
wertung von diskriminierenden Klauseln mit deren Lange zunimmt. Der dynamische 
Faktor FORCE IF dient wiederum zur Beschleunigung der Termination, falls LARGE 
am Anfang zu kleine Klassen findet. Mit FULL-RED kann die Gewichtung von be- 
schreibenden gegeniiber diskriminierenden Klauseln statisch festgelegt werden. 

compl (fur complexity, Komplexitat der Klausel) soil einfachere Klauseln im Sinne des 
MDL-Paradigmas (vgl. Abschnitt 4.1.2) belohnen. Diese Komponente berechnet sich 
rekursiv xiber den Aufbau der abgeleiteten Attribute und gibt die mittlere Anzahl der 
Operatoren pro Bedingungsattribut an. Wegen der Interpretation von Q als Qualitats- 
funktion muB compl mit steigender Komplexitat abnehmen, weshalb der Wert so um- 
gerechnet wird, daB compl = 99 fur keinen Operator steht, d. h. nur Eingabeattribute 
in den Bedingungen, und compl = 0 fur durchschnittlich 9, 9 und mehr Operatoren pro 



. def 

rej = 



min 
min 




{99; [10 • FORCE. F • FULL-RED • p\ } wenn T c = E 
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Bedingungsterm, mit linearer Interpolation dazwischen: 



compl — 



- ^2 max{0; 99 - 10 • cmp(u A )} 



mit 



cmp(^j) = 




Dabei bezeichnet das in der Bedirigung & getestete Attribut. 

; 

Die Einschrankung des Wertebereichs der Komponenten attr, rej und compl auf [0; . . . ; 99] 
und der Gewichtungsfaktor 100 in (4.6) sorgen dafur, daB die Komponenten attr und rej bei 
Vergleichen absolute Prioritat vor der Komponente compl erhalten. attr und rej sind dagegen 
durch die Multiplikation gleichberechtigt und arithmetisch UND-verknupft. Werte der Qua- 
litatsfunktion tragen in den Einer- und Zehnerstellen die Bewertung der Termkomplexitaten, 
in den Hunderter- bis Hunderttausenderstellen das Produkt aus den Bewertungen der Cluster- 
Auffalligkeit und der Klassifikationsredundanz. 

4.2.5 Auswahl der Klauseln 

Bisher wurde beschrieben, wie Atome und Klauseln konstruiert und damit die Klauselmenge 
C im Algorithmus schrittweise aufgebaut werden. Der letzte Schritt ist nun, aus der aktuellen 
Klauselmenge C eine Auswahl von Klauseln zur Hypothese h C C zusammenzustellen, die 
alle Beispiele der Trainingsmenge E akzeptiert (vgl. Abschnitt 4.2.1). 

Fur die Klauselauswahl ist die Klauselliste C = c u . . . ,c k nach der Klauselqualitat Q(c) 
(4.6) absteigend sortiert. Es wird eine Teilmenge h = , . . . , cf von Klauseln gesucht, die 
moglichst wenige Treffer t h auf der Trainingsmenge aufweist, aber alle Lehrbeispiele akzep- 
tiert: 



Zum Vergleich solcher Klauselauswahlen h C C ist eine Qualitatfunktion Q* fur Hypothesen 
definiert: 



t h d M £|{e€£|c* \=e} 



th > 1^1 A t h minimal! 



k 




Q*(h) =' 



i=i 

Ci€h 

1 * * 



wenntft > \E\ 



(4.7) 



t h - \E\ 
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Durch diese Definition sind iiberlappungsfreie Hypothesen (erster Fall) immer besser als sol- 
che mit mehrdeutiger Klassenzuordnung (zweiter Fall). Bei iiberlappungsfreien Hypothesen 
werden Klauseln aus dem vorderen Teil von C belohnt, also die mit der hochsten Klauselqua- 
litat, ansonsten die mit dem geringeren Uberlappungsgrad — \E\. 

Der Algorithmus zur Auswahl von Klauselteilmengen tragt zunachst all jene Klauseln in die 
Hypothese ein 5 die irgendein Beispiel als einzige klassifizieren und daher mit Sicherheit in der 
Hypothese enthalten sein miissen. Im ersten Durchlauf versucht er dann, eine optimale Uber- 
lappungfreie Hypothese zu konstruieren. Dazu werden von vorn nach hinten alle Klauseln aus 
C, die nicht zu Mehrfachtreffem in der Hypothese fuhren, hinzugenommen. Wenn die Suche 
das Ende der Liste erreicht und die aktuelle Hypothese h noch nicht alle Beispiele abdeckt, 
erfolgt Backtracking nach dem folgenden Schema: Die Suche von vorn nach hinten wird wie- 
deraufgenommen an der dem Listenende nachsten Position i mit € h, Ci+i £ h, nachdem 
alle Klauseln vom Listenende bis einschlieBlich Ci wieder aus der Hypothese gestrichen wor- 
den sind. Sobald eine vollstandige iiberlappungsfreie Hypothese gebildet wurde, stellt sie die 
gesuchte optimale Auswahl gemaB (4.7) dar, was die geschilderte Suchstrategie und die Vor- 
sortierung der Klauseln garantieren. Wenn keine solche Hypothese gefunden werden konnte, 
erfolgt ein zweiter Durchlauf, um die beste Auswahl mit Uberlappung zu ermitteln. Die Such- 
strategie ist zum ersten Durchlauf weitgehend analog, allerdings kann die Suche nicht mit 
dem ersten Fund einer vollstandigen Beispielabdeckung abgebrochen werden, da ja gemaB 
(4.7) die Gesamttrefferzahl th zu minimieren ist. 

Um den Aufwand bei der Suche nach geeigneten Klauselteilmengen zu begrenzen, der norma- 
lerweise bei 0(|PC|) = 0(2 k ) lage, wird jeweils nach SELECT MAX Schleifendurchlaufen 
abgebrochen, :^ 

Die so konstruierte Hypothese wird zur aktuellen Ausgabehypothese, falls ihr Q* (h) das der 
letzten Ausgabehypothese ubersteigt. 

4.2,6 Suchstrategie 

Die bisherigen Erklarungen zur Klauselkonstruktion wiirden nicht ausschlieBen, daB LARGE 
Zyklen im Suchraum durchlauft oder immer wieder die gleichen Attribute oder mathematisch 
aquivalente Bedingungen bildet. Daher gibt es eine Reihe von Regeln und MaBnahmen, die 
die Suche so steuern, daB die genannten unerwunschten Effekte ausgeschlossen sind. 

Vorauswahl von Beispielen 

Die erste dieser MaBnahmen ist die Vorauswahl der Beispielteilmenge E l im Algorithmus 
(siehe Abschnitt 4.2.2) — dort als „wahle E f C E durch AusschluB der Treffer einer Klausel 
c E C" bezeichnet. Hierzu verwendet LARGE einen Klauselindex cls.excl, der zyklisch alle 
Klauseln durchlauft. Alle Treffer der aktuell indizierten Klausel gelangen nicht in die Menge 
die den Ausgangspunkt zur Bildung der nachsten neuen Klausel bildet. Pro Durchlauf des 
Index clsjexcl wird genau einmal die vollstandige Beispielmenge E herangezogen: 
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Dadurch werden Beispiele, die gerade durch eine neue Klausel zu einer moglichen Klasse 
zusammengefaBt worden sind, bei einer der nachsten Klauselbildungen gewissermaBen aus- 
geblendet. Somit konnen auch Klassengrenzen in solchen Dimensionen des Attributraums 
gefunden werden, in denen sich bei Betrachtung der gesamten Trainingsmenge keine zur 
Klassendiskrimination geeigneten Haufungen zeigen. Figur A.41 stellt einen solchen Fall bei- 
spielhaft dar: Im Teil a kann nur die Menge A diskriminiert werden, weil entlang der Achse vj 
kein Dichteunterschied erkennbar ist. Erst nach Ausblenden von A erfolgt die Diskrimination 
der Menge B (Teil b). . - 

Tabu-Suche 

Die zweite MaBnahme bei der Suchstrategie betriflft die Erzeugung von Bedingungen (siehe 
Abschnitt 4.2.4): Hier verwendet LARGE das Verfahren der Tabu-Suche {tabu search), um 
nicht wiederholt die gleichen Diskriminationen zu liefern. Zu diesem Zweck wird eine Ta- 
buliste setJtabu von Beispielklassen verwaltet. Diese Liste ist aus Effizienzgriinden mit Hilfe 
einer Hash-Funktion auf i?-Teilmengen implementiert, was vom Prinzip her jedoch keinen 
Unterschied macht: 

• Bei der schrittweisen Erweiterung der neuen Klausel nC um neue Bedingungen werden 
alle Bedingungen verworfen, die zu einer von der Klausel akzeptierten Beisgielmenge 
ftihren, die in setjtabu vermerkt ist. 

• Immer wenn C bereits MAX .CLAUSES umfaBt und die letzte neuerzeugte Klausel nC 
von ihrer Klauselqualitat Q(riC) her schlechter ist als die beste Klausel in C, wird die 
von nC diskriminierte Klasse in die Tabuliste eingetragen. 

• Wenn setJabu mehr als TABUS MAX Eintrage umfaBt, werden der oder die altesten 
davon geloscht, bis die Maximallange wieder eingehalten wird. 

Regeln fur die Atome 

Da bei der Bildung abgeleiteter Attribute grundsatzlich beliebige arithmetische Terme entste- 
hen konnen, besteht die Gefahr, daB LARGE redundante Attribute und aquivalente Klassifika- 
tionsregeln erzeugt. Ein Beispiel dafur ware das folgende, mit den abgeleiteten Attributen als 
Terme ausgeschrieben: 

ok{v u v 2 ,vz) <^ v 1 - V 2 = V 3 

A vi + (-1 • Vz) = v 2 

Durch die Belohnung redundanter Diskrimination in der Klausel-Qualitatsfunktion Q (Kom- 
ponente rej in 4.6, siehe Abschnitt 4.2 .4) wiirden derail unsinnige Suchergebnisse sogar be- 
vorzugt werden. Die hier vorliegende Redundanz ist aber wertlos, weil sie von zwei identi- 
schen Bedingungen herriihrt. Die von Q sinnvollerweise zu belohnende Redundanz betrifft 
jedoch iibereinstimmende Diskriminationseffekte verschiedener. Eingabeattribute und ist da- 
mit eine Eigenschaft der Trainingsmenge, nicht der Klassifikationsregeln. 
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. Die Moglichkeit, Aquivalenzen dieser Art-durch Integration eines Theorembeweisers in LAR- 
GE aufzuspuren, muB aus Komplexitatsgninden verworfen werden. Stattdessen gilt der fol- 
gende Satz von Regeln bei der Konstruktion von Klauseln: 

1 . Als Zielattribute bei der Bildung von Attribut- Atomen mit Hilfe der Korrelationskoef- 
fizienten sind nur die Eingabeattribute v u .\. ,v n zugelas'sen. Dadurch wird die Anzahl 
der Ziele fur die Termbildung beschrankt, ohne an Ausdrucksfahigkeit zu verlieren. 

2. Wenn ein Eingabeattribut v k in die Berechnung eines abgeleiteten Attributs v { eingeht, 
wird Vi nicht benutzt, urn ein abgeleitetes Attribut mit Ziel v k zu bilden. Denn diese 
Korrelation ware ungerecht hoch und die resultierende Regel ohnehin verboten weeen 
Punkt4. 

3. Ein mit mull gebildetes Attribut der Form v { ■ k wird nie als Argument eines weiteren 
mull-Atoms in Betracht gezogen, da dasselbe Ergebnis durch direkte Verwendung von 
Vi in einem mull-Atom mit anderem Faktor k erreichbar ist. 

4. Zweistellige Attribut- Atome der Typen mull, add2 und sub2 mit Argumenten v { , vj wer- 
den nicht gebildet, wenn v { und vj aus ein oder mehreren gemeinsamen Eingabeattribu- 
ten berechnet sind. Sonst konnten einzelne Eingabeattribute durch inverse Operationen 
aus dem Ergebnis faktisch eliminiert werden, wie etwa in (vi + v 2 ) - v x . 

5. Alle Bedingungen einer Klausel miissen sich auf verschiedene (nicht notwendig paar- 
weise ciisjunkte!) Mengen von Eingabeattributen beziehen. Dies ist die entscheidende 
Regel zur Vermeidung aquivalenter Diskriminationsregeln innerhalb einer Klausel. 

6. Je nach Anwendungsfall ist es nicht sinnvoll, Terme mit mehrfach verketteten Ivlultipli- 
kationen zu bilden. Dies kann erstens Uberlaufe des Zahlenbereichs in der Implemen- 
tierung provozieren, zweitens bilden sich durch Multiplikationen immer ungleichmaBi- 
ge Verteilungen der auftretenden Werte des Produktattributs, was die Suche nach sy- 
stematischen Haufungen erschwert. Daher wird die Multiplikationstiefe der abgeleite- 
ten Attribute auf MULSJMAX beschrankt. Als Multiplikationstiefe eines Attributatoms 
gilt hier das Maximum der Multiplikationstiefen seiner Argumente, genau dann um 1 
erhoht, wenn es sich um ein mull- oder mul2-Atom handelt. 

Termination 

LARGE terminiert, wenn eine alle Beispiele abdeckende Hypothese gefunden wurde und 
TERM STEPS Klauselkonstruktionen lang keine Verbesserung der Hypothesenqualitat gemaB 
Q* erzielt werden konnte. * • 

4.2.7 Parameter 

Die folgende Tabelle zahlt die Parameter auf, die den LARGE- Algorithms steuern. Viele 
davon sind in den vorangegangenen Abschnitten bereits in Formeln oder Teilalgorithmen auf- 
getreten: . . . • 
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Parameter 


Beschreibung 


Vorgabe 


CLUSTERMIN 


Minimale Anzahl von Datenpunkten in einem 
Cluster, darmt auch minimale KlassengrdBe. 


5 


TERMSTEPS 


Nach TERMJSTEPS Hauptschleifen- 
durchlaufen ohne Verbesserung der Hypothese 
cnoigx Gic i eixninaiion. 


6 


SELECT MAX 


Maximale Anzahl Durchgange bei der Suche 
nach einer Klauselauswahl fur die Hypothese, 
notig zur Aufwandsbegrenzung. 


50 


TABUS-MAX 


Maximal TAB US -MAX E'mtr age bleiben in der 
Klassen-Tabuliste stehen, wenn eine neue Klau- 
sel gefiinden wurde. 


4 


MULSJAAX 


Maximale Zahl von verketteten Multiplikatio- 
nen in einem abgeleiteten Attribut, bildlich die 
maximale Zahl von Multiplikationen in den 
Pfaden des Berechnungsbaums mit den Einga- 
beattributen als Blattern und dem Ergebnis als 
Wurzel. 


1* 


DIS-MAX 


Maximale Zahl von Diskriminationen pro Klau- 
sel. Eine Diskrimination erfolgt durch die fe-te 
Bedingung genau dann, wenn ihre Treffermen- 
ge mindestens ein Beispiel aus der Treffermen- 


2 ... 




ge aller bisherigen Bedingungen ausschlieBt, 
formal: T x n . . . n T k c T x n . . . n T fc _i. 






Gewichtung der Auffalligkeitsbewertung fur 
Einzelwerte in Q. 


1,5 




bljyLrL&^XL,hL'l\ [a) ist die ochwelle tur die 
Haufigkeit eines ahderen Attributwertes w in 
der Beispielmenge, ab der w in der Auffallig- 
keitsbewertung als „fast so haufig wie cf' gilt. 
Dies mindert die Auffalligkeit von d. 


0,4 

■v 


CLUSTER.F 


Gewichtung der Auffalligkeitsbewertung fur 
Intervall-Cluster in Q. 


0,5 


L,L Uo 1 JbK -LA L,jbL 


LsLUdl hKJbXLshL' log 10 g ist die Scnwelle tur 
den Zehnerlogarithmus des Haufungsquotien- 
ten eines anderen Intervalls [d X ] d 2 ] in der Bei- 
spielmenge, ab der [di; rf 2 ] in der Auffalligkeits- 

npwprfnno' ale Tjacf on VisinTior Hao ctp'm/cJ Vi 1 _ 

te Intervall" gilt. Dies mindert die Auffalligkeit 
des gewahlten Intervalls. 


0,5 


COMPARE -F 


Steilheit der Abwertung bei „ahnlich auffalli- 
gen" konkurrierenden Einzelwerten oder Clu- 
stern. Ab 1 1 COMPARE _F Konkurrenten ist 
die Auffalligkeit null. 


0,2 
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Parameter 


Beschreibung 


Vorgabe 


FULLJFO 


Konstante Auffalligkeitsbewertung fur Inter- 
vallbedingungen, die alle Beispiele ihrer Aus- 
gangmenge erfassen, d. h. nicht diskriminieren. 


■0,1 


FULL J' . 


Intervallbreitenabhangige Auffalligkeitsbewer- 
tung fur Intervallbedingungen, die alle Beispie- 
le ihrer Ausgangmenge erfassen, d. h. nicht dis- 
kriminieren. 


0,2 


FULL-RED 


Faktor fur die Redundanzbewertung nichtdis- 
kriminierender Intervallbedingungen. Bei 1,0 
entspricht die Bewertung einer maximal redun- 
danten diskriminierenden Klausel. 


0,75 


FORCEJSTEP 


Faktor fur die schrittweise Erhohung der Be- 
wertung nichtdiskriminierender Klauseln, wenn 
die Klauselliste schon gefullt ist, aber die aktu- 
elle Hypothese noch nicht alle Beispiele akzep- 
tiert. 


1,5 


N.CONDS 


Maximale Anzahl Bedingungen pro Klausel. 


n+1 


ATTS.MAX 


Maximale Anzahl von Attributen insgesamt. 


2n - NEW -ATTS 


CLAUSES-MAX 


Maximale Anzahl Klauseln in der Klauselliste 
bzw. der Ausgabehypothese. 


10* 


NEW^ATTS 


Anzahl Termneubildungen pro neuer Bedin- 
gung. 


15* 


ATTJGNORE 


Neugebildete Attribute werden erst 
ATTJGNORE Attributbildungen spater als 
Argumente herangezogen. Steuert die Tiefen- 
und Breitensuche-Anteile bei der Termbildung. 





Die mit * gekennzeichneten Parameter sind diejenigen, die auch fur Anderungen durch den 
Anwender bei konkreten Lemaufgaben vorgesehen sind. n ist die Anzahl der Eingabeattribute 

4.2.8 Aufwandsabschatzung 

In diesem Abschnitt erfolgt eine Abschatzung des Laufzeitaufwands im schlimmsten Fall, 
Qlarge* fiir einen einzelnen Schritt der Z^iJGZT-Hauptschleife, also die Konstruktion einer 
neuen Klausel und die Klauselauswahl fur die aktuelle Hypothese. 

Bei der Aufwandsberechnung wird die Anzahl der Maschinenoperationen ublicher Prozes- 
soren als Berechnungsgrundlage verwendet. Daher sind die Schleifenstrukturen des bis auf 
solche Elementaroperationen hinunter verfeinerten Algorithmus zu analysieren. Die bei die- 
ser Analyse im ersten Schritt auftretenden freien Variablen sind in Tabelle 4.2 beschrieben. 

Die Analyse der Schleifenstruktur liefert folgende Terme fur die Berechnung von C large"* 
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Auswahl der Beispielteilmenge E 1 fur die Klauselkonstruktion: Die Auswahl erfolgt in 
einer Schleife uber die Trainingsmenge in Abhangigkeit von der aktuell auszuschlie- 
Benden Beispielklasse. Unter Vernachlassigung multiplikativer Konstanten ergibt sich 
als Aufwandsterm: 

C\ ARG B = 0(m) (4.8) 

Berechnung der Korrelations- und Regressionskoeffizienten und Sortierung der Attri- 
bute: Die Korrelationsberechnung erfolgt fur jedes Zielattribut einzeln, wofiir nur Ein- 
gabeattribute verwendet werden. 

Der resultierende Aufwandsterm ist: 

Clarge = 0{n-. ATTS-MAX -m + n- ATTS-MAX log ATTS-MAX) 

= <9((n • ATTS-MAX) • (m + log ATTS. MAX)) (4.9) 

Suche von Kandidaten fur die Attributneubildung: Hier treten bis zu vier geschachtelte 
Schleifen auf, namlich uber die Zielattribute v k , NEWuiTTS Neubildungen und das Paar 
Vi, Vj der Argumentattribute. Fiir V{ und Vj kommen jeweils die n Eingabeattribute und 
a k der abgeleiteten Attribute in Frage, dies sind diejenigen abgeleiteten Attribute mit 
Zielattribut v k . Die zugehorige Summe (n + a k ) kann grob mit ATTSJsdAX nach oben 
abgeschatzt werden. 

Der resultierende Aufwandsterm ist: 

n 

CLrge = O^NEW-ATTS-(n + a k ) 2 -n) 

- 0{NEW-ATTS • ATTS„MAX 2 n 2 ) (4.10) 

Das n aus der innersten Schleife stammt vom Test auf gemeinsame Eingabeattribute 
in den Termen zu Vi und Vj. Man beachte, daB die Suchschleife fur vi, vj nur solange 
durchlaufen wird, bis ein Argumentpaar gegen keine der Regeln aus Abschnitt 4.2.6 
verstoBt. Dieses Paar wird verwendet s weil es sich ja dank der Sortierung nach Korrela- 
tion zu v k urn das am besten passende Attributpaar handelt. In Fallen, wo die obersten 
beiden Attribute verwendbar sind, reduziert sich der Aufwand dieses Schritts daher auf 
0{NEW.ATTS - n 2 ). 

Eintragen des neueri Attributs in die Attributtabelle: Dabei miissen alle Werte des ab- 
geleiteten Attributs fur samtliche Lehrbeispiele berechnet werden. AuBerdem ist die 
Korrelation des neuen Attributs mit dem aktuellen Zielattribut zu berechnen und in die 
Liste mit den Korrelationswerten einzusortieren. Es ergibt sich: 

C large = 0(n + ATTS-MAX +mlogm) (4.11) 

Der Logarithmus ist eine Folge davon, daB die.Wertmenge des neuen. Attributs — zwecks 
leichterer Auswertung z. B. des Wertehistogramms — sortiert abgelegt wird. 
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. • Suche nach den neuen Bedingungen: Die Suchschleife lauft hier (iber alle vorhande- 
nen maximal ATTSMAX Attribute und wird N.CONDS-mal ausgefuhrt. Entscheidend 
fur den Aufwand dieses Schritts ist die rekursive Cluster-Suche (vgl. Abschnitt 4.2.4), 
die sowohl bei der Auswahl der Cluster-Intervalle als auch zur Berechnung der Klau- 
selqualitatsfunktion benotigt wird. Zusammen mit den Tests der Regeln fur Attribute, 
insbesondere daB jede Bedingung einen anderen Satz von Eingabeattributen verwendet,' 
errechnet sich der Aufwand zu: 

c large = 0(N.CONDS • ATTS.MAX ■ {N.CONDS -n + m logm)) (4.12) 

• Auswahl einer Klauselmenge als Hypothese: Die Suche nach geeigneten Teilmengen ist 
auf 5£Z£:cr_M4ZDurchlaufe begrenzt. Aufwandsentscheidend ist, daB beim Streichen 
und Wiedereinfugen von Klauseln aus der bzw. in die Hypothese die Klauseltrefferzah- 
len aller Lehrbeispiele aktualisiert werden mussen: 

Clarge = O {SELECT MAX ■ cm) (4.13) 

Zusammen ergibt sich fur den Zeitaufwand eines Z^flG£-Suchschritts folgende Aufwands- 
klasse, wobei die aktuelle Klauselzahl c noch durch ihre obere Schranke CLAUSES-MAX 
abgeschatzt ist: 

Clarge = ClARGE + Cl ARGE + Cl ARGB + Ct ARGE + Cl ARGE 
= 0{(n- ATTS.MAX) ■ (m + log ATTS. MAX) 

+NEW.ATTS ■ ATTS.MAX 2 n 2 . 
+N.CONDS • ATTS-MAX ■ {N.CONDS -n + m logrof 
+SELECT. MAX ■ CLA USES -MAX ■ m) (4.14) 

An (4.14) kann die Zunahme der Laufzeit in Abhangigkeit von den Eigenschaften n und m 
der Trainingsmenge und von alien Parametern abgelesen werden. Wenn alle von n und m 
unabhangigen Parameter als Konstanten im Sinne der O-Notation aufgefaBt und die beiden 
von n abhangigen Parameter N.CONDS und ATTSMAX (vgl. 4.2.7) durch n ersetzt werden, 
ergibt sich folgendes Ergebnis in n und m: 

Clarge = 0{n 4 + n 2 mlogm) (4.15) 

Es ist festzustellen, daB der Aufwand polynomiell ist, die Anzahl der Eingabeattribute mit 
hochstens n 4 und die GroBe der Trainingsmenge insbesondere mit hochstens m log m in den 
Aufwand eingeht. Der eine der beiden n 4 -Terme aus (4.14) gilt, wie erortert, auch nur fur 
den ,^chlechten" Fall, daB viele Argumentkombinationen fur neue Attribute durch die Bil- 
dungsregeln abgelehnt werden - im besten Fall eines Erfolgs der hochstkorrelierten Attribute 
reduziert sich dieser Summand auf n 2 . 

4.2.9 Anwendungsbeispiele 

In diesem Abschnitt werden einige Beispiele fur die Anwendung von LARGE als isoliertem 
Lernverfahren vorgestellt - unabhangig vom Problem "de's ProtokoUernens. 
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Dazu wurden Testdateri nach vorher festgelegten Regeln generiert und als Eingabe fur LARGE 
verwendet, wobei dem Algorithmic natiirlich keinerlei Informationen fiber die Erzeugungsre- 
geln zur Verfugung standen. Insbesondere ist ihm die Zahl der Klassen unter den Eingabeda- 
ten, also die Anzahl der im Idealfall in der Hypothese erwarteten Klauseln, nicht vorgegeben. 
Die Lehrbeispiele verschiedener Klassen sind in der Trainingsmenge zufallig miteinander ver- 
mischt. 



Datensatz 1 

Figur A.42 zeigt im linken Bildteil die Regeln zur Datenerzeugung fur den ersten Beispielda- 
tensatz. Die Regeln bestehen fur jede der zwei Klassen aus je vier Gleichungen, von denen 
jede ein Eingabeattribut v u . . . , v 4 festlegt. Die Intervallnotation a..b steht fiir eine gleichver- 
teilte zufallige Ziehung einer Zahl aus dem angegebenen Intervall, die restlichen Komponen- 
ten umfassen die Verwendung anderer, schon bestimmter Eingabeattribute und arithmetische 
Operationen. Wenn statt einer Bestimmungsgleichung eine Gleichungskette angegeben ist, 
dient alles ab dem zweiten Gleichheitszeichen nur noch der kommentierenden Beschreibung 
zur besseren Ubersicht — in diesem Fall ist die Gleichverteilung bei Intervallangaben nicht 
mehr unbedingt gegeben, weil mehrere zufallige Ziehungen uberlagert sein konnen. 

Im rechten Teil der Figur ist das Lernergebnis zu sehen. Die abgeleiteten Attribute sind hier 
in Termnotation angegeben, mehrere Bedingungen einer Klausel trennt ein AND. In ecki- 
gen Klammern erscheint unter jeder Klausel zunachst die Zahl der Klauseltreffer, also die 
Machtigkeit der von dieser Klausel beschriebenen Klasse innerhalb der Trainingsmenge. Hin- 
ter dem ersten Schragstrich steht die Anzahl der Diskriminationen, also der „Verkleinerungen" 
der Treffermenge (vgl. 4.2.7). Der dritte Zahlenwert ist die Klauselqualitat gemaB Q. Man. 
kann die Bewertung der Termkomplexitat in den Einer- und Zehnerstellen der Klauselqualitat 
nachvollziehen, die Komponente compl aus (4.6): Bei beiden Klauseln betragt die mittlere 
Anzahl Operatoren pro Bedingungsterm 5/5 = 1, 0, so daB compl = 99 - 10 * 1, 0 = 89. 

Die Lernaufgabe zeigt als besondere Schwierigkeit, daB die beiden Klassen im Attribut vi 
iiberlappen und im Attribut v 2 mit etwa gleicher Beispieldichte direkt nebeneinander liegen. 
Trotzdem werden beide Klassen exakt diskriminiert. Die hohere Klauselqualitat bei der ersten 
Klasse entsteht durch die bessere Auffalligkeitsbewertung der beiden ersten Einzelwertbe- 
dingungen und die Ablehnung aller Beispiele der anderen Klasse durch diese beiden Bedin- 
gungen. Man erkennt, daB die Klauseln sowohl diskriminierende als auch deskriptive Bedin- 
gungen enthalten: In beiden Klauseln genugt die jeweils erste Bedingung zur t Klassendiskri- 
mination. Die weiteren Bedingungen hat LARGE zur weitergehenden Charakterisierung der 
jeweiligen Klasse erzeugt. Die Bedingungen sind nicht vollig frei von Redundanz, beispiels- 
weise folgt die dritte Bedingung — 4 < v$ — v 2 < 0 in der ersten Klausel aus den Bedingungen 
zwei, v 4 - v 2 + v$ = 0, und funf, 0 < v 4 < 4. Dies ist moglich, weil nur die Regeln nach 
Abschnitt 4.2.6 und kein vollstandiger Ungleichungsumformer zur Vermeidung redundanter 
Regeln eingesetzt werden. Immerhin verhindem die Bildungsregeln die Ableitung paarweise 
aquivalenter Bedingungen. 

Ein Versuch mit denselben Klassen, aber 300 Beispielen im gleichen Verhaltnis liefert im 
wesentlichen das gleiche Ergebnis, dargestellt in Figur A.43. 
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Datensatz 2 



Figur A.44 zeigt die zweite Lernaufgabe, diesmal sogar mit vier Klassen. Urn die „Sicht" des 
Algorithms auf die Lernaufgabe noch besser zu illustrieren, befindet sich in der Figur auch 
erne Tabelle mit einem Auszug aus der Trainingsmenge, wie LARGE sie als Eingabe erhalt. 
Auch hier werden alle charakteristischen Gleichungen gefunden. Gut kann man die tatsachli- 
chen Extremwerte der zufallig gezogenen Attributwerte innerhalb der Trainingsmenge able- 
sen. Bei den beschreiberiden Attributen ergeben sich zahlreiche Aussagen uber die Summen 
der Zufallswerte, die zwar keine charakteristischen Eigenschaften der vorgegebenen Klassen 
smd, aber natiirhch zutreffende Aussagen uber die Lehrbeispiele. Eine klarere Identifikation 
der Idee hinter der Klassenbeschreibung kann von einem Suchalgorithmus auch kaum erwar- 
tet werden. 

Tabelle 4.3 zeigt ein Protokoll der Lernschritte bis zur Ausgabe der Hypothese fur diese 
Lernaufgabe durch LARGE. Die Spalten der Tabelle bezeichnen die Zahl der Klauseln in 
C, die Zahl der Bedmgungen in alien Klauseln, die Zahl der abgeleiteten Attribute (Terme) 
die Zahl der bereits akzeptierten Beispiele, die Gesamtzahl der Klauseltreffer einschlieMich 
Uberschneidungen, die aktuelle Lange der Teilmengen-Tabuliste sowie die Qualitat Q* der 
letzten Auswahl. Auswahl in der ersten Spalte kennzeichnet eine neue beste Auswahl also 
eine neue Hypothese. 

Datensatz 3 

Figur A.45 stellt eine Lernaufgabe mit nur einer Klasse in der Trainingsmenge dar LAR- 
GE erzeugt tatsachhch eine Hypothese mit nur einer Klausel, weil alle weiteren erzeugten 
Klauseln von der Klauselqualitat schlechter bewertet sind und auch keine iiberlappungsfreie 
Klassifikation ergeben. 



Datensatz 4 



Das vierte Beispiel, zu sehen in Figur A.46, ist dahingehend besonders, daB zur Diskriminati- 
on der vier Klassen jeweils zwei Bedingungen erforderlich sind. Im Diagramm links unter der 
Datenbeschreibung sieht man, warum das so ist. Auch diese Diskriminationsregeln erkennt 
LARGE durch iterative Isolation von Haufungen der Attributwerte. 



Laufzeit 



Nach den inhalthchen Ergebnissen der vorangegangenen Unterabschnitte erfolgt jetzt noch 
eine Zusammenstellung der zugehorigen Laufzeiten. Die Zeiten wurden mit der LARGE- 
Testimplementierung unter Linux 2.0 auf einem PentiumPro-basierten Rechner mit 200 MHz 
Takt gemessen. Tabelle 4.4 stellt die Ergebnisse dar. Man erkennt, daB die mit 0(m log m) ab- 
geschatzte Abhangigkeit von der GroBe der Trainingsmenge bei diesen Beispielen noch hinter 
emer linearen Zunahme zuruckbleibt. 
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Symbol 


Bedeutung 


n 


Anzahl der Attribute vi , . . . ■ , v n pro Lehrbeispiel 
(Eingabeattribute) . 


m 


Anzahl der Lehrbeispiele, m = \E\: 


c 


Anzahl der schon vorhandenen Klauseln in C. 



Tabelle 4.2: Freie Variablen in den Termen fur den Laufzeitaufwand von LARGE. 



Schritt 


Klau- 


Bedin- 


Teriiie 


Abdek- 


Treffer 


Tabus 


Q* 




seln 


gungen 




kung 








1 


1 


4 


4 


25 


25 


1 




2 


2 


8 


7 


30 


30 


2 




3 


3 


12 


8 


50 


55 


3 




4 


4 


16 


11 


74 


79 


4 




5 


5 


20 


14 


99 


178 


4 




6 


6 


24 


14 


99 


203 


4 




7 


6 


24 


14 


99 


203 


5 




8 


7 


28 


17 


99 


227 


4 




9 


8 


32 


17 


100 


252 


4 


664 


Auswahl 


4 


16 


17 


100 


100 


4 


664 


10 


9 


34 


17 


100 


278 


4 


652 


11 


10 


38 


17 


100 


293 


4 


646 


12 


10 


38 


17 


100 


293 


5 


646 


13 


10 


38 


18 


100 


199 


4 


643 


14 


10 


38 


15 


100 


199 


5 


643 


15 


10 


38 


16 


100 


199 


6 


643 



Tabelle 4.3: Lernprotokoll fur Datensatz 2. 
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Datensatz 


n 


m 


Schritte 


Zeit [s] 


Zeit/Schritt [s] 


1 


4 


• 30 


, 9 


1,03 


0,114 


1 


4 


300 


11 


6,95 


0,632 


1 


4 


900 


8 


12,91 


■ 1,614 


2 


3 


100 


15 


1,28 


0,085 


2 


3 


1000 


13 


7,43 


0,572 


3 


4 


. 100 


10 


2,41 


0,241 


4 


2 


400 


10 


0,22 


0,022 



Tabelle 4.4: Laufzeiten von LARGE bei den Lernbeispielen. 



4.3 Lernen des PDU-Typen- Automaton 

Dieser Abschnitt behandelt den anderen Teil der Protokoll-Lemaufgabe, den endlichen Au- 
tomaten der PDU-Typen. Die folgenden Unterabschnitte geben noch einmal kurz die Spezi- 
fikation dieser Teilaufgabe an und beschreiben dann erst den Losungsansatz, die aufwands- 
optimierte Form des Algorithmic und schlieBlich die Art der erzeugten Automaten. Dieser 
Algorithmus heiBt /n^W-Algorithmus (fur infer a [finite] state machine, Ableitung eines 
endlichen Automaten). 



4.3.1 Spezifikation 

Die Ein-Ausgabe-Relation von InfSM laBt sich unmittelbar aus der Spezifikation der 
vollstandigen Protokoll-Lemaufgabe in Abschnitt 4.1.1 ablesen. 

Eingabe: Eine Wort a = oi . . . a n G S* aus n PDU-Typen, die beobachtete PDU-Sequenz 
ohne den Datenanteil. 

Ausgabe: Die Zustandsmenge 5 und die Transitionsrelation 5 C S x E x S des zu lernenden 
Protokollautomaten A (vgl. Abschnitt 4. 1 . 1). S und S mussen a akzeptieren, also: 

3r 0 ,...,r n eS (ro,a 1 ,r 1 ),(r 1 ,a2,r 2 ),...,{rn-i,a n ,r n )e5 (4.16) 



4.3.2 Ansatz 

Das Kernproblem bei der Konstruktion eines Automaten, der a akzeptiert, besteht darin, 
die Positionen i zwischen zwei aufeinanderfolgenden Symbolen aia i+ i in der Folge a mit 
Zustanden n e S zu identifizieren, wobei S selbst ja noch zu bilden ist. Die PDU-Typen- 
Folge gibt keine direkte Auskunft iiber Kommunikationszustande, denn diese Zustande sind 
ein Konzept des Protokollentwurfs, ergeben sich also aus der Intention des Protokollentwick- 
lers im Hinblick auf die Protokollsemantik. Dem InfSM- Algorithmus bleibt als einziger An- 
satzpunkt, Teilsequenzen von a miteinander zu vergleichen oder sonst irgendwie auf ihnen zu 
operieren. - 
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Eine sehr vorteilhafte Sicht fur die Automatenkonstruktion ist die, daB jeder Zustand r e S 
gerade eine Aquivalenzklasse von Positionen in der PDU-Sequenz a darstellt. Fur die gesamte 
Zustandsmenge 5 bedeutet dies das folgende: Es wird eine Aquivalenzrelation 

~C{0;...;n} 2 

eingefuhrt, so daB S als der Faktorraum von ~ identifiziert werden kann und ~ gerade die r t - 
aus (4.16) definiert: . 

S^{0;...;n}/~ = {[{\ \ i E {0; . . . ; n}} 

Vi,je{0- t ...- t n}'r i = r j 4*i~j (4.17) 

Wenn alle Zustande Tj in dieser Weise identifiziert sind, kann die Transitionsrelation 5 trivial 
aus ~ und a abgeleitet werden, so daB (4.16) automatisch erfullt ist: 

' *^{([»-l],a i> [<])|t€{l;...;-n}} (4.18) 

S enthalt also alle Zustandsubergange zwischen Zustanden, die gemaB ~ in a aufeinander 
folgen, mit dem zwischen diesen beiden Positionen in a stehenden Symbol als Kommunika- 
tionsprimitive. Die denkbaren Extremfalle sind: 

1 . Der universelle Akzeptor mit einem einzigen Zustand (vgl. Figur A.38): 

~ = {0;...;n} 2 
S = {[0]} 

8 = SxExS - 

2. Der auf a beschrankte Akzeptor mit n + 1 Zustanden (vgl. Figur A.37): 

- = {(0,0); (1,1);... ;(n,n)} 

5 = {{0};{l};.-.;{n}} 

6 = {({0},a 0 ;{l});... ;({n-l},a n ,{n})} 

Bleibt zu klaren, wie sich eine Aquivalenzrelation ~ sinnvoll und effizient aus a ableiten laflt. 

Da ^ ahnliche Positionen in der PDU-Folge zusammenfaBt, ist sie auf der Grundlage ei- 
nes AhnlichkeitsmaBes zu definieren. Fiir die Ahnlichkeit zweier o;-Positionen 9 d. h. ftir ih- 
re Zugehorigkeit zum selben Automatenzustand, spricht, wenn sie Gemeinsamkeiten in der 
unmittelbar vorausgegangenen oder unmittelbar nachfolgenden Teilsequenz von Symbolen 
aufweisen. Dies wird im folgenden als gemeinsames Prdfix bzw. gemeinsames Postfix be- 
zeichnet. Wenn zwei a-Positionen i und j ein besonders langes gemeinsames Prafix haben, so 
ist es wahrscheinlich, daB an diesen beiden Stellen derselbe Kommunikationszustand vorlag. 
i und j konnen allerdings vollig verschiedene Postfixe zeigen, wenn der Protokollautomat 
unterschiedliche Folgezustande angenommen hat. i konnte aber z. B. im Postfix eine hohe 
Ubereinstimmung mit einer weiteren Position k zeigen und j mit einer Position L Wenn jetzt 
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noch k und I ein langes gemeinsames Prafix tragen, ist es wahrscheinlich, daB alle vier Positio- 
nen zur selben Aquivalenzklasse, also zum selben Kommunikationszustand, gehoren sollten. 
Figur A.47 zeigt ein konkreteres Beispiel fur eine derartige Situation. 

Diese Uberlegungen deuten an, daB die zustandsbildenden Aquivalenzklassen durch den tran- 
sitiven AbschluB einer Ahnlichkeitsrelation entstehen sollten. Die Ahnlichkeitsrelation ist zu 
definieren uber ein AhnlichkeitsmaB auf den Sequenzpositionen, das sich aus der Lange ge- 
meinsamer Pra- und Postfixe berechnet. 

Dieses AhnlichkeitsmaB heiBe pp a (fur Prafix und Postfix) Und wird folgendermaBen defi- 
niert: 

' >PP« : {0;... ; \a\} 2 — > N 

PPaihj) = PPl{Uj) + PPt{iJ) (4.19) 
mit 

PPZihj) d ~ max{z | ai_ 2+ i . ..a; = a,_ 2+1 . . . a, } 
PPtihj) - max {z | o£ + i . . . a i+z = a i+1 . . . a J+2 } 

Die Summe aus der Lange gemeinsamer Pra- und Postfixe entspricht natiirlich der groBten 
Lange einer Teilsequenz, innerhalb der oder an deren Ende die verglichenen Positionen liegen. 

Aus dem AhnlichkeitsmaB pp wird die Ahnlichkeitsrelation indem man eine Schwelle 
N e {0; . . . ; n} fur die geforderte Ahnlichkeitsbewertung festlegt: 



n C {0;...;n} 



2 



i~Nj <^ PP a (iJ)>N (4.20) 

Diese Ahnlichkeitsrelation ist aufgrund (4.19) zwar symmetrisch und reflexiv, aber nicht un- 
bedingt transitiv und somit noch keine Aquivalenzrelation. Um eine schwellenabhangige Zu- 
standsrelation ~ N zu erhalten, miiBte die transitive Hulle von ~ N gebildet werden: 

InfSM macht diesen Schritt jedoch nicht direkt Die Anzahl der gebildeten Aquivalenzklassen, 
also Zustande, wachst zwar monoton mit der Schwelle N 9 laBt sich aber ohne die Berechnung 
der transitiven Hiille kaum anhand der Schwelle abschatzen. Daher soil InfSM gleich eine 
Ahnlichkeitsmatrix sim berechnen, aus der alle ~ N fur samtliche Schwellen unmittelbar ab- 
Jesbarsind: 

sim : {0;...;n} 2 4N ' 

sim(iJ)>N o i ~ N j (421) 

Im Moment ist noch nicht vollig klar, ob (4.21) eine widerspruchsfreie und eindeutige Festle- 
gung von sim darstellt. Die Kodierung aller Aquivalenzrelationen in sim ist zunachst nur eine 
Absicht. : 

sim soil wie folgt berechnet werdenf " ' ■'■■■*--*■• ■ 
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1. Setze sim 0 = PP a - '■. " 

2. Bilde sim z +i durch 

sim z +i(i,j) = max min{s2m z (z, &); sim z {k, j)} (4.22) 

0<k<n ' \ 

solange, bis Sim z +\ — $ZTYl z . 

3. sim ist gleich 5im 2+1 . 

Die Operation in Schritt 2 entspricht ubrigens genau dem Quadrat von sim z als Matrix, wenn 
man die Multiplikation durch min und die Addition durch max ersetzt. Dies erlaubt eine 
verkiirzte Notation: 

sim = lim (pp a ) z 

z—*oo 

Theorem 7 Der Bildungalgorithmus fur sim nach (4.22) terminiert. Die Interpretation von 
sim gemafi (4.21) liefert fur jede Schwelle N eine Aquivalenzrelation. 

Beweis: Da die Hauptdiagonaleneintrage nach der Definition von pp (4.19) maximal in ihrer 
Zeile und Spalte sind, wird die rechte Seite von (4.22) durch den Fall k = % nie kleiner als 

- min{sim z (i, i)\ sim z (i, j)} = sim z (i, j), 

die stets ganzzahligen Matrixelemente konnen also nur zunehmen, sind durch das globale 
Maximum in pp a aber nach oben beschrankt. Daraus folgt die Termination nach endlich vielen 
Iterationsschritten. 

Die in sim kodierten Relationen sind symmetrisch wegen der Symmetric von pp und der Vor- 
schrift (4.22). Sie sind reflexiv, da die Elemente der Hauptdiagonale groBer oder gleich der 
groBten Schwelle N = n sind. Die Transitivitat wird durch Widerspruch gezeigt: Angenom- 
men, es existieren i, j,k,N, so daB 

sim(i,k) > N A sim(k,j) > N A sim(ij) < N. 

Dann ware im letzten Schritt nach (4.22) 

sim z +x(i,j) > mm{sim z (i,k): sim z (k,j)} > N > sim z {i,j), - 

was einen Widerspruch zur Abbruchbedingung darstellt. □ 

DaB sim tatsachlich die transitiven Hxillen der ~ N kodiert, ergibt ein direkter Vergleich des 
Algorithmus (4.22) mit dem trivialen Verfahren zur Berechnung der transitiven Hulle fur ein 
festes N: Genau dann, wenn ein Element k in Relation zu i und j steht, wird auch die Aqui- 
valenz zwischen i und j eingetragen. 

Nach der Berechnung von sim konnen die resultierenden 5 und 5 fur j.ede.Schwelle TV abgele- 
sen werden. Dies erleichtert die Wahl von N anhand einer Abschatzung der Zustandszahl, die 
eher a priori moglich ist als eine Vorgabe der Ahnlichkeitsschwelle. Figur A.48 zeigt ein Bei- 
spiel fur die Veranderung eines abgeleiteten Automaten durch Einfuhrung einer zusatzlichen 
Aquivalenz zwischen zwei Zustanden des ersteren. 
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4.3.3 Optimierter Algorithmic 

Nach den bisherigen'Angaben kormtelnfSM schon direkt implementiert werden. Wegen der 
modifizierten Matrixmultiplikation, die iterativ durchgefuhrt wird, ergabe dies jedoch einen 
Laufzeitaufwand im schlimmsten Fall in der GroBenordnung 0(n 4 ), was nicht akzeptabel ist. 
Im folgenden wird der /w/SM-Algorithmus mit dem oben spezifizierten Ergebnis, aber einem 
Laufzeitaufwand von hochstens 0(n 2 ) formuliert: 

Prozedur InfSM(a) 
a = ai . . . a n : E* 



— Berechnung des AhnlichkeitsmaBes pp 
Fur d € 0 . . . n 

PP(0,d),pp(d,0) <-0 
c«- 0 

Fur i e 1 . . . n — d -- Prafixe 

Wenn ai = a i+d Dann c <— "c + 1 Sonst c <- 0 

pp(i, i + d), pp(z + d, z) «— c 
c <- 0 

Fur z e d + 1 . . . n Absteigend - Postfixe 
Wenn ai_ d = a* Dann c <— c + 1 Sonst c <— 0 

c' <- - d - l,i - 1) 

pp{i — d - 1, i — l),pp(i — l,z - d— 1) <- c + d 

— Erzeugung der Klassenzuordnung M 

L <- {PP{iJ)\hj € 0 . . .n} - alle Schwellen 

AreL,i€0...n *~ I PP(hj) — — Matrix von Kantenlisten 

0>j V€ L,<€0...n <~ (0) - Hilfsmatrix 



M <- id 0 ...„ 
Fur N e L Absteigend 
X <r- range(M) 
M N <- id x 
Fur i e 0. . ,n 
FurjeX(N,i) 

A'(iV, M(z)). append(M(j)) 
Fur z e0 . . :n Wenn z e X 

Solange Y ^ 0 Wiederhole 

Wahle iG7 

Fur G \'(N,j) . 
Wenn HI 

y^Vu {a} . " 



— bisherige Reprasentanten 

— Kanten auf Reprasentanten umsetzen 

— Reprasentant von [z] - 

— [z] traversieren 

— j wird expandiert 

— Zuordnung j G [i] eintragen 

--j durch unbesuchte Nachbarn ersetzen 
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X <- X \ {k} ' 
Mjv, M --. mit bisheriger Zuordnung verketten 

— Bildung des Automaten 

Wahle N in Abhangigkeit von | range(M^)| . 
S <— range(M A r) 

S <- {(Mat(< - 1), a*, M N (i)) | i € 1 . . . n} 
Ausgabe S, 5 

Ende von InfSM 

Statt der Ahnlichkeitsmatrix sim berechnet der dargestellte Algorithmus die 
Aquivalenzklassen-Zuordnungsfiinktionen die zu jeder Sequenzposition bereits 

ein Kennzeichen der Aquivalenzklasse, also des Zustands, liefern: 

M N : {0;... ;n} -> {0;'... ;n} (0 < N < n) 
M N (i) = M N (j) <=> sim(ij) > N 

Kern des Algorithmus ist eine Schleife iiber die sinnvollen Schwellenwerte, in der die Zu- 
standsklassen iterativ konstruiert werden, d. h. aus der durch M N beschriebenen Zustands- 
menge der Relation ~w,in die alle Ahnlichkeiten von und dariiber eingegangen sind, wird 
im nachsten Schritt die Zustandsmenge der Relation ~n-i berechnet und in M N ^i kodiert. 
Durch die GroBer-oder-gleich-Bedingung in (4.21) kann es dabei keine Anderungen auBer der 
Zusammenfassung von Klassen geben. 

Die Wahl einer angemessenen Ahnlichkeitsschwelle N wird weiter unter im Rahmen des 
Erlernens realer Protokollregeln genauer behandelt. 

4.3.4 Aufwand 

Dieser Abschnitt erlautert, warum InfSM, in der dargestellten Form eine Laufzeit von nicht 
mehr als O (n 2 ) in der Lange der Eingabesequenz benotigt: 

• Bei der Berechnung des AhnlichkeitsmaBes pp wird ausgenutzt, da!3 eine mehrfach auf- 
tretende Teilsequenz die Pra- und Postfixlangen fur mehrere Matrixeintrage in pp be- 
einfluBt. Die Symbolfolge a wird fur jeden Vergleichsabstand d je einmal vorwarts und 
riickwarts durchlaufen, wobei die Matrix pp in diagonalen Streifen ausgefullt wird. Fi- 
gur A.49 veranschaulicht diese Vorgehensweise. Weil die Schachtelungstiefe der Schlei- 
fen bei zwei liegt, ergibt sich ein Aufwand von hochstens 0(n 2 ). 

• Ein wichtiger Schritt ist die anschlieBende Umordnxxng der vorkommenden Ahnlich- 
keitswerte in die Matrix A. AnschlieBend ist X(N, i) die Liste aller Knotennummem, 
die mit Knoten i die Ahnlichkeit N haben (pp(i,j) = iV). Da nur (n + l) 2 Indizes 
einzutragen sind, die hochste Ahnlichkeit n betragt und das Anfugen an eine Liste ohne 
weiteres mit konstantem Aufwand moglich ist, ergibt sich wiederum 0(n 2 ) Zeitbedarf. 
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• Dererste Teilschritt der Klassenbildung ist die Berechnung der Kantenlistenmatrix A', 
die dieselbe Struktur wie A aufweist, in der aber alle Kanten mit einer Ahnlichkeit von 
genau N auf die Klassenreprasentariten der letzten Zerlegung M „umgehangf ' werden: 
Alle Kanten von und zu einer M -Klasse werden dem Reprasentantenknoten zugeordnet. 
Fur Reprasentantenknoten i gilt M (i) = i. Die append-Operation muB fur den gesam- 
ten Algorithmic hochstens (n + l) 2 -mal ausgefuhrt werden, weil nur so viele Kanten 
in A vorhanden sind, Aufwand al so X) (n 2 ) , 

Figur A.50 stellt die Folge der Teilschritte fiir den Ubergang von N = 3 zu N = 2 bei- 
spielhaft dar. In dieser Figur sind Reprasentantenknoten ausgefiillt gezeichnet, wahrend 
die restlichen Knoten j einer Klasse mit M(j),-dem Index des Reprasentantenknotens 
als Kennzeichen ihrer Klasse, markieft sind. 

• Nun wird nacheinander von jedem in X vermerkten Reprasentantenknoten der Zerle- 
gung M jeweils die zugehorige Aquivalenzklasse entlang der Kanten mit pp(i,j) = N 
traversiert. Knotenindex i wird zum Kennzeichen dieser Klasse. Y dient als Knoten- -^§1' 
speicher fiir die verwendete Breitensuche. Entscheidend fur den Aufwand dieses Teils 

ist der Rumpf der innersten Schleife (Fur k... ): Durch die Loschung der schon besuch- 
ten Knoten aus X wird pro Ahnlichkeitsschwelle TV kein Knoten j doppelt expandiert. 
Insgesamt gibt es in A' aber nur (n + l) 2 Kanten, so dafi der innerste' Schleifenrumpf 
auch nur so oft durchlaufen werden kann und der Aufwand durch 0(n 2 ) beschrankt 
bleibt . 



• M N enthalt zunachst nur die neuen Zusammenfassungen von M-Reprasentanten gemaB 
A^'-Kanten. Die resultierende Zerlegung mit korrekten Klassenkennzeichen fur alle 
Knoten erhalt man erst durch die Komposition M N o M (siehe auch Figur A.50). Die 
o-Operation benotigt n + 1 Elementaroperationen, weil M auf so vielen Stellen defi- 
niert ist, und wird in der aufiersten Schleife hochstens n-mal ausgefuhrt. Daraus folgt 
ein Zeitaufwand von 0(n 2 ). 

• Der kritische Aspekt sind die Operationen auf den Knotenmengen X bzw. Y: Die 
Loschoperationen aus X mussen offenbar mit konstantem Aufwand erfolgen, damit 
die angegebene Aufwandsabschatzung gilt. Dies ist leicht moglich, wenn X z. B mit 
Hilfe eines Bitvektors reprasentiert wird. Aus diesem Grund wurde eine Schleife der 
Form „Solange X ^ 0" vermieden, denn dieser Test ist bei einem Bitvektor nicht mit 
konstantem Aufwand durchfuhrbar. Statt dessen wurde die Schleife iiber die Mitglie- 
der von X als Fxir-Schleife mit explizitem Mitgliedstest notiert — was naturlich dazu 
fuhrt, daB bereits deren Rumpf 0(n 2 )-mal ausgefuhrt wird. Die innere Schleife iiber 
die Mitglieder von Y darf pro Element nun nur noch konstanten Aufwand haben, was 
man mit einer Reprasentation von Y z. B. als verzeigerter Keller erreichen kann. Auf 
Y finden nur der Test auf die leere Menge, das Einfugen eines bisher nicht enthalte- 
nen Elements sowie die kombinierte Auswahl xmd Loschung eines beliebigen Elements 
statt. Alle diese Operationen verursachen in einer ublichen Kellerimplementierung nur 
konstainten Aufwand. ' . .. .. . .. _ ■ . 
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Da alle beschriebenen Teilaufwande additiv zum Gesamtaufwand von InfSM zusammengefaBt 
werden, ist auch dieser schlimmstenfalls quadratisch: 

C InfS M = 0(n 2 ) ' ~ (4.23) 

43.5 Eigenschaften des gelernten Automaten 

Die zustandsbildende Aquivalenzrelation zwischen den Sequenzpositionen als Lange gemein- 
samer umgebender Teilsequenzen verkorpert eine recht intuitive Definition der Automaten- 
zustande. Nun stellt sich die Frage nach Eigenschaften der auf diese Weise automatisch er- 
zeugten endlichen Automaten. 

Aus der Automatentheorie ist bekannt, daB deterministische endliche Automaten (DEA) als 
Spezialfalle nichtdeterministischer endlicher Automaten (NEA) die gleiche Machtigkeit hin- 
sichtlich der modellierbaren Sprachen aufweisen, daB also jeder endliche Automat in einen 
aquivalenten DEA uberfuhrt werden kann. Der wesentliche Vorteil eines DEA ist, daft von 
einem bekannten Zwischenzustand aus der jeweilige Folgezustand stets eindeutig durch das 
verarbeitete Symbol bestimmt wird. Formal sind DEAs gegeniiber aquivalenten NEAs da- 
durch ausgezeichnet, daB der konstruktive Algorithmus zur Umformung eines NEA in einen 
aquivalenten DEA aus k Zustanden des NEA bis zu 2 k Zustande des DEA macht, namlich 
gerade die Potenzmenge des urspriinglichen Zustandsraums. 

Die von InfSM erzeugten endlichen Automaten sind im allgemeinen NEAs. Die folgende Be- 
trachtung des Algorithmus soil jedoch zeigen, daB InfSM „haufi£ c deterministische Transitio- 
nen konstruiert. Ein gutes MaB dafur, „wie" nichtdeterministisch ein gegebener NEA ist, bildet 
die Zahl der Zustands-Symbol-Paare (r, a), fur die mehr als ein Tripel (r, a, r') e 6 existiert. 
Es soli daher eine notwendige Bedingung dafur ermittelt werden, daB (r, a) ein nichtdetermi- 
nistisches Zustands-Symbol-Paar in der Transitionsrelation des mit InfSM erzeugten NEA A 
bildet 

Angenommen, (r, a) ist ein solches nichtdeterministisches Zustands-Symbol-Paar. Dann exi- 
stieren in der erzeugten Relation 5 zwei Tripel 

(r, a, n), (r, a, r 2 ) e 6 (r, r u r 2 € 5, r x ^ r 2 , a e S) 

oder, bezogen auf die Eingabesequenz a und die Positionszerlegung M mit range(M) = S, 

(M(i-l), ai ,M{i)) e 5, (M(i-l),a u M(j)) = (M(j - 1), OJj M(j)) e 5,.M(i) ± M(j). 

Wegen M{i — 1) = M(j — 1) und weil M die Sequenzpositionen in Aquivalenzklassen zerlegt, 
existiert eine Folge (^k) ke x_ z von Sequenzpositionen, so daB 

pp(i- > N A-ppfaufjb) > N A ... A pp(fi z - uf i z ) >N A pp(n z J -.1) > N, 

wobei N die gewahlte Ahnlichkeitsschwelle ist. Ferner muB sim(i, j) < N gelten, sonst ware 
i ~n j> und die Folgezustande r x und r 2 waren von InfSM zum selben Zustand zusammenge- 
faBt worden. 
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Wegen a; = a f gilt aber: 



pp-{i,Hi + 1) = pp~(i - 1,/zi) + 1 
Mi + 1) = -.1, Mi) ~ 1 

PP'U^z + 1) = - 1,.aO + 1 

Mz + 1) = pp + {j - r, a**) - i 



(Prafixlange) 
(Postfixlange) 
(Prafixlange) 
(Postfixlange) 



'PP(hf*i + l) =pp(i«l,Ai 1 ) > TV 
PPti, + 1) = ~ 1. /O > W 



Wenn nun aber z = 1, so folgt daraus sim(ij) > N 9 also doch sim(ij) > N und mithin 
n = M(z) = M(j) = r 2 , Widerspruch! Es laBt sich also formulieren: 

Wenn (r, a, r x ) , (r, a, r 2 ) zwei nichtdeterministische Ubergange zum 
Zustands-Symbol-Paar (r, a) sind, dann kann es zwischen den zugehorigen 
Sequenzpositionen ij mit r = M(i) = M(j) nur Pfade mit mindestens zwei 
Zwischenpositionen geben, die % und j uber die Ahnlichkeitsrelation ~ N - vor 
Bildung der transitiven Hulle — verbinden. 

Praktisch bedeutet dies aber, dafi bereits eine hinreichend vollstandige Eingabesequenz a 
einen DEA als Lernergebnis gewahrleistet: Wenn a von einem DEA A 0 erzeugt wurde und 
fur jeden Zustand q von A Q samtliche Kombinationen der moglichen iV-stelligen Prafixe und 
Postfixe zu q mindestens einmal in a vorkommen, so erfolgt die Bildung der transitiven Hulle 
von ~ N grundsatzlich uber hochstens eine Zwischenposition - der gelernte Automat A ist 
dann deterministisch. Die praktischen Ergebnisse am Ende dieses Kapitels werden zeigen, 
wie gut dieser Idealfall in der Realitat approximiert wird. 

4.3.6 Bewertung 

Hier sollen die theoretischen Ergebnisse zu InfSM in einen Zusammenhang gestellt werden. 

Die Ahnlichkeitsrelation liefert eine pro Schwellenwert eindeutige Zerlegung in Aquivalenz- 
klassen, mithin einen eindeutig definierten endlichen Automaten. 

Den Zustand eines endlichen Automaten als die Aquivalenzklasse der ahnlichsten Vor- und 
Folgeverhalten zu interpretieren, erscheint als eine naturliche und globale, wohldefinierte und 
leicht nachvollziehbare Sicht auf das Konzept des Zustands. Es spricht einiges dafiir, die nach 
diesem Kriterium erhaltenen Automaten hinsichtlich der Aussagekraft ihrer Zustande als op- 
timal einzustufen. 

Modulo dieses Optimalitatsbegriffs laBt sich daher zusammenfassen, dafi InfSM -mit einem 
Aufwand von 0(n 2 ) in der Lange der Eingabesequenz -alle optimalen endlichen Automaten 
findet, die die Eingabesequenz akzeptieren. Unabhangig vom 7«/SM-Algorithmus gilt also 
ganz allgemein, dafi jedes Wort eine Familie optimaler NEAs definiert, die sich paarweise 
m der Zahl ihrer Zustande unterscheiden. Bei einer gunstiger Eingabesequenz werden sogar 
* deterministische Automaten konstruiert. 
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4.4 Protokollregelerwerb 

Dieser Abschnitt beschreibt, wie die oben entwickelten Algorithmen LARGE und InfSM ge- 
meinsam zur Losung der Protokoll-Lernaufgabe engesetzt werden konnen. 

Zunachst wird angegeben, wie man LARGE und InfSM in einen konkreten Lernalgorithmus 
integriert. Weitere Unterabschnitte thematisieren die Behandlung sehr groBer Beispielverhal- 
ten und die Kontrolle der Zustandszahl, die InfSM in Abhangigkeit von der Ahnlichkeits- 
schwelle liefert. 



4.4.1 Vorgehensweise 

Figur A.51 zeigt eine grobe Skizze des kpmbinierten Algorithmus zum Protokoll-Lernen. 
Wegen der Notation vergleiche Abschnitt 4.1.1. In der tatsachlichen Implementierung wird 
zusatzlich eine minimale Haufigkeit h angegeben, mit der eine PDU-Typen-Sequenz j3 vor- 
kommen muB, damit eine Ableitung von Attributregeln mittels LARGE sinnvoll durchgefiihit 
werden kann. /?-Sequenzen, die zu selten in p aufgetreten sind, werdeh so lange. von links 
verkiirzt, bis die Haufigkeitsschwelle h erreicht wird. Dadurch kommen in der resultierenden 
Protokollmaschine auch Attributregeln iiber weniger PDUs als die vorgegebene FenstergroBe 
w vor. 

Wahrend InfSM direkt und nur einmalig eingesetzt wird, muB LARGE fur jeden Zustand s 
und jede in s endende Folge (3 von w PDU-Typen getrennt aufgerufen werden, und zwar 
mit den Attributvektoren aller Falle aus der Beobachtung p, in denen der Zustand i mit ei- 
nem Auftreten von j3 erreicht wird. Die Entscheidung, ob ein konkretes Auftreten von ft in p 
tatsachlich in Zustand i endet, kann sehr leicht anhand der aus InfSM erhaltenen Abbildung 
M von Sequenzpositionen auf Zustande getroffen werden. Dies erspart ein zusatzliches Par- 
sieren der Beobachtung mit dem gerade abgeleiteten Automaten, das ohne die Kenntnis von 
M erforderlich ware. 



4.4.2 Inkrementelle Automatenableitung 

Der Aufwand von 0(n 2 ) fur den InfSM- Algorithmus ist zwar grundsatzlich „gutmiitig poly- 
nomiell". Fiir lange Beispielbeobachtungen, die nach dem bisher beschriebenen Konzept in 
einem Durchlauf von InfSM komplett zu bearbeiten waren, wachst jedoch selbst dieser qua- 
dratische Aufwand zu schnell. Ubrigens gilt 0(n 2 ) nicht nur fur den Zeit-, sondem auch fur 
den Speicheraufwand, weil die Relationsmatrix der Ahnlichkeitsrelation gespeichert werden 
muB. Schon bei 1 .000 beobachteten PDUs sind dies eine Million Matrixeintrage, was beim 
Arbeitsspeicher heutiger Arbeitsplatzrechner noch kein Problem darstellt. Aber bei 10.000 
PDUs sind das schon 100 Millionen Eintrage. Man sieht, daB InfSM fur die direkte Verwen- 
dung der kompletten Eingabesequenz nicht in jedem Fall geeignet ist. Dies gilt vor allem 
deshalb, weil der LARGE- Algorithmus pro Zustand s und hinfiihrender PDU-Sequenz /? nur 
einen kleinen Bruchteil der Beispielsequenz als Eingabe erhalt. Hinreichend g^oBe Trainings- 
mengen, urn mit LARGE verniinftige Regeln fur die PDU- Attribute abzuleiten, erfordern also 
eine sehr lange Beobachtung p. 
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Daher wurde ein Verfahren entwickelt, mit dessen Hilfe InfSM iterativ auf einzelne Teilab- 
schnitte der beobachteten PDU-Typen-Folge angewendet werden kann. Leider eignet sich 
InfSM aufgrund seiner ganzheitlichen Sicht auf die Eingabesequenz fiber die Ahnlichkeits- 
relation relativ schlecht fur eine inkrementelle Arbeitsweise, bei der die bisherige Hypothe- 
se anhand neu eintreffender Symbole angepafit werden muBte. Der verwendete Algorithmus 
heiBt InfSM" und ist in Figur A.52 dargestellt. Seine Idee besteht darin, die /w/W-Prozedur 
nacheinander auf einzelne Abschnitte der Eingabesequenz a einer festen FenstergroBe N an- 
zuwenden. Um die bei den einzelnen InfSM-L&ufen erhaltenen Zustande miteinander identifi- 
zieren zu konnen, ohne daB ein topologischer Vergleich der beiden Zustandsgraphen erfolgen 
muB, verwendet InfSM* einfach fiberlappende Abschnitte: Das Fenster wird pro Schritt nur 
um die halbe Fensterbreite weitergeschoben. Dadurch lassen sich die Zustandsklassen in der 
ersten Halfte eines Folgeabschnitts fiber die Sequenzpositionen mit den Zustanden des voran- 
gegangenen Abschnitts identifizieren. Mit Hilfe der von InfSM ermittelten abschnittsinternen 
AhnlichkeitsmaBe wird die Verbindung zur zweiten Fensterhalfte hergestellt. 

Figur A.53 zeigt die verschiedenen Falle, die auftreten, wenn ein einzelner Funktionswert 
der Zuordnungsfunktion M von Sequenzpositionen zu Zustanden eines Teilabschnitts in die 
globale Zuordnungsfunktion G integriert wird. Im Fall a ist die aktuelle Position sowohl in 
M als auch in der zusammengefaBten Funktion G ein Zustandsreprasentant, es erfolgt keine 
Anderung. Im Fall b wird eine Zustandsabbildung aus M in die an dieser Stelle noch nicht 
geanderte Funktion G fibertragen, wie dies insbesondere in der zweiten Halfte des M-Fensters 
vorkommt, wenn der entsprechende G-Bereich erstmalig bearbeitet wird. Bei c dagegen sind 
schon Zuordnungen in G eingetragen, die Position k 2 — in G bisher noch Zustandsreprasen- 
tant — wird aufgrund einer Aquivalenz in M der Position ki zugeordnet. In d schlieBlich ist 
dargestellt, daB auch zwei bereits bearbeitete Zustandsreprasentanten — und mit ihnen die zu- 
gehorigen Aquivalenzklassen— durch eine Aquivalenz in M zusammengefaBt werden konnen. 
Dies bedeutet, daB alle auf k x verweisenden G-Eintrage spater auf k x umzusetzen sind. In die- 
sem Fall bleibt in G aber zunachst ein Pfad mit einer Lange groBer als eins zuriick; dies ist 
der Grund, warum der Algorithmus mit den beiden &>/a«ge-Schleifen nach den Reprasen- 
tantenknoten in G suchen muB und warum in G abschlieBend alle Verweise nochmals auf die 
jeweilige Pfadwurzel umgesetzt werden. In M kommen solche Pfade nicht vor, dort geht jeder 
Verweis von Anfang an direkt zum Reprasentanten. 

Diese Vorgehensweise zur inkrementellen Anwendung von InfSM hat den groBen Vorteil, 
daB als Resultat des gesamten Algorithmus wiederum eine Zuordnung von Sequenzpositio- 
nen — fiber die gesamte Eingabesequenz — zu den Zustanden des gebildeten Automaten vor- 
liegt. Es ist also zu jeder PDU bereits bekannt, in welchen Zustand sie den Protokollauto- 
maten bringt. Die gewahlte Verknupfungsstrategie ist auBerdem eine logische Erweiterung 
A des InfSM-Verfahrens: Die bereits festgestellten Aquivalenzen werden unter Forderung nach 
Transitivitat fiber die gesamte PDU-Sequenz propagiert. Wenn die charakteristischen PDU- 
Sequenzen mehrmals innerhalb aller Fensterabschnitte vorkommen, liefert InfSM* also das- 
selbe Ergebnis wie ein einzelner InfSM-Lauf fiber die gesamte Eingabe. 

Bei konstant gesetzter FenstergroBe wachst die Rechenzeit fur die 7«/SW-Laufe nur noch li- 
near mit der Eingabelange n. Allerdings ist der Zeitaufwand der beiden inneren Solange- 
Schleifen im schlimmsten Fall nicht konstant, weil in G ja langere Verweispfade auftreten 
konnen. Diese entstehen jedoch nur im Fall d von Figur A.53, wo jeweils zwei bisherige 
G-Zustande zu einem einzigen vereinigt werden. Die Anzahl solcher Zustandsvereinigungen 
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im nachhinein ist zumindest durch die Anzahl der pro InfSM-Lauf erzeugten Zustande be- 
schrankt. Sie konnen uberhaupt nur dann auftreten, wenn in einem Folgeabschnitt neue Teil- 
sequenzen auftreten. In der Praxis bleibt die mittlere Zahl der Durchlaufe der beiden Solange- 
Schleifen also sehr gering. Der Speicheraufwand von InfSM* ist bei konstanter FenstergroBe 
im iibrigen auf jeden Fall nur O (n) . 

4.4.3 Sonderbehandlung der Sequenzrander 

Der Anfang bzw. das Ende der beobachteten PDU-Sequenz a sind in bezug auf das Ahnlich- 
keitsmaB pp (4.19) „benachteiligt", weil Prafix- bzw. Postfixahnlichkeiten iiber die Sequenz- 
grenzen hinaus nicht existieren. Dies kann dazu fuhren, daB die Zuordnung einiger der ersten 
und letzten Sequenzpositionen zu einer Aquivalenzklasse nur aus diesem Grund unterbleibt. 
Als konkrete Auswirkung konnten sich „Sackgassen" im abgeleiteten Automaten fur den Be- 
ginn und das Ende der Beispielsequenz ergeben. 

Als GegenmaBnahme gegen diesen unerwiinschten Effekt werden die ersten und letzten -^V 0 
Sequenzpositionen in a nicht zur Bildung von Zustanden des abgeleiteten Automaten A her- 
angezogen. Fiir A^ 0 verwendet InfSM" den maximalen Wert der verwendeten Ahnlichkeits- 
schwelle aller /n/SM-Dixrchlaufe. Zwischen den so festgelegten Randabschnitten sind : die 
Prafix- bzw. Postfixahnlichkeiten nicht mehr in einer Weise eingeschrankt, die sich auf die 
resultierende Ahnlichkeitsrelation auswirken konnte. 



4.4.4 Implementierung 

Der Prototyp des Protokollemers wurde in C++ mit Hilfe der Bibliothek LEDA {library of ef- 
ficient data types and algorithms, Bibliothek effizienter Datentypen und Algorithmen) [MNU] 
und mit einer grafischen Benutzerschnittstelle in Tcl/Tk implementiert. Figur A.54 zeigt ein 
Beispiel fur die Bildschirmanzeige des Lemprogramms. 

Dank der LEDA-Bibliothek kann insbesondere der Zustandsgraph des erlernten Automaten 
sehr effizient und sehr iibersichtlich mit Hilfe des LEDA-Datentyps GRAPH algorithmisch 
bearbeitet und schlieBlich auf Datentrager abgelegt werden. Als Kantenmarkierungen dienen 
die PDU-Typen, als Knotenmarkierungen treten Klausellisten von LARGE in umgekehrt pol- 
nischer Notation auf Figur A.55 zeigt beispielhaft Ausschnitte aus einem gelernten Protokoll- 
automaten mit Attributregeln. Der obere Teil gehort zur Knotenbeschreibung, der untere zur 
Kantenbeschreibung. Diese textuelle Notation konnen auch die LEDA-Werkzeuge zur Visua- 
lisierung von Graphen direkt lesen; alle Abbildungen von Zustandsgraphen im vorliegenden 
Dokument sind auf diese Weise entstanden. 



4.5 Analysephase 

In der Analysephase muB der gelemte Automat A schlieBlich zur Priifung eines neuen, poten- 
tial fehlerbehafteten Kommunikationsverkehrs verwendet werden. Diese Phase kennzeichnet 
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die eigentliche Anwendung eines lernfahigen Spuranalysesystems und entspricht vom Ein- 
satzkontext her dem in Abschnitt 2.2.1 dargestellten Szenarid fur den konventionellen Spiir- 
analysator, der ersten Teilaufgabe dieser Arbeit. 

Formal spezifiziert wurde die Anwendungsphase bereits in Abschnitt 4.1.1 uber das bc-Pradi- 
kat (4.2). Hier soli die algorithmische Realisierung erlautert werden. 

Weil der Automat A nur die von InfSM erzeugten Basiszustande unterscheidet und die rest- 
lichen Protokollregeln nicht zustands-, sondern kontextbasiert modelliert, ist das Aufsetzen 
auf eine laufende Kommunikationsverbindung hier wesentlich einfacher als beim FollowSM- 
Verfahren, das ja auf erweiterten endlichen Automaten basiert. Neben dem ungewissen An- 
fangszustand konnen nichtdeterministische Transitionen zu Mehrdeutigkeiten beim aktuellen 
Basiszustand fuhren. Aber selbst bei einem DEA existiert keine obere Schranke fur Zahl der 
zu beobachtenden PDUs, bis sich der aktuelle Basiszustand eindeutig bestimmen laBt. Fi- 
gur A.56 zeigt ein Beispiel fur einen deterministischen Protokollautomaten und eine Beob- 
achtung, die sich vom Automaten mehrdeutig parsieren laBt. 

Der Analysealgorithmus fimktioniert daher so: 

1 . Beginne mit einer Zustandsmenge X = S 9 die die moglichen aktuellen Basiszustande 
von A beschreibt. 

Lies die nachste PDU w der Beobachtung. 
Bilde X ! als Menge aller Zustande seS, die 

• von einem Zustand aus X uber das Symbol a n , den PDU-Typ von 7r, gemaB 5 A 
erreicht werden konnen und 

• deren Attributpradikat uj a (s) die Attributierung der letzten w PDUs einschlieBlich 
7r akzeptiert. 

Melde einen ProtokollverstoB, wenn X r = 0, und fange wieder bei Schritt 1 an. 
Setze X 4- X f und gehe zu Schritt 2. 

Wenn vom Z^jRG£-Algorithmus fur einen Zustand s und eine bestimmte PDU-Typen-Folge 
0 9 mit der s erreicht werden kann, kein ok-Pradikat erzeugt wurde, erfolgt keine Fehlermel- 
dung. Die Analyse begnugt sich in einer solchen Situation mit der Priifung der Abfolge der 
PDU-Typen. 

Der Aufwand pro PDU liegt bei hochstens k • \X\ ok-Klausel-Auswertungen 5 wenn k die 
maximale Zahl der Klauseln pro PDU-Kombination in einem Zustand bezeichnet. Da k ftir 
den gelernten Automaten A konstant ist und |X| durch die Zustandszahl \S\ beschrankt, ist 
der Zeitaufwand fur die Analysephase linear in der Lange der Beobachtung. In der Praxis 
wird \X\ im Mittel sogar nahe bei 1 liegen. Im Vergleich zur Lernphase ist der Einsatz des 
gebildeten Analysators* also sehr efficient! ' * : — , - 



4.6. PRAKTISCHE ANWENDUNG 



117 



4.6 Praktische Anwendung 

Dieser Abschnitt beschreibt experimentelle Erfahrungen mit dem Prototyp des Protokoll- 
Lernsystems. Dabei kamen einerseits das Schicht-2-Protokoll der Breitband-ISDN- 
Signalisierung an der Teilnehmer-Netzwerk-Schnittstelle nach Q.21 10 [IT94a] 5 das Protokoll 
SSCOP (service specific connection-oriented procedure, dienstspezifische verbindungsorien- 
tierte Prozedur), und andererseits das Intemet-Transportprotokoll TCP (transmission control 
protocol, Ubertragungssteuerungsprotokoll) [Pos80] zum Einsatz. 



4.6.1 Versuche mit SSCOP 

Dieser Abschnitt beschreibt die Lernversuche mit dem Protokoll SSCOP. 

Da die SSCOP einen selektiven Bestatigungsmechanismus mit einem Sequenznummernraum 
von 2 24 Elementen und ein zum Datentransport teilweise asynchrones Nachfrage- und Bestati- 
gungsschema beinhaltet, stellt sie ein besonders gutes Testbeispiel fur die arithmetischen Re- 
geln fur die PDU-Feldinhalte dar, wie sie von LARGE erzeugt werden. M 

Das groBte durchgefuhrte Experiment verwendete eine PDU-Sequenz aus n = 1953 PDUs 
des Protokolls SSCOP, die aus einer programmahnlichen Beschreibung wesentlicher Pro- 
tokollprozeduren erzeugt wurde 5 mit deren Hilfe pro Protokollprozedur wechselnde PDU- 
Feldinhalte zustande kamen ([Hat98]). 



Abstraktionsgrad des Basisautomaten 

Tabelle 4.5 gibt einen Uberblick iiber den Zusammenhang zwischen dem Schwellenwert N fur 
die Zustandsaquivalenz und der GroBe der gelemten Automaten im ,4nteressanten" Bereich. 
Zusatzlich sind die Anzahl der Kanten im Zustandsgraphen, also die Zahl der Transitionen 
des gelemten Automaten, sowie die Anzahl der Zustands-Eingabe-Paare angegeben, fur die 
es jeweils mehrere mogliche Folgezustande gibt. In der Tabelle sind letztere als ,^iichtdeter- 
ministische Situationen" bezeichnet. 



Schwelle 


Zustande 


Kanten 


nichtdet. 


Figur 


N 


\s\ 




Situationen 




6 


41 


56 


3 




5 


27 


42 


2 


A.57 


4 


21 


34 


2 


A.58 


3 


10 


23 


1 


A.59 


2 


10 


23 


1 


A.59 


1 


8 


22 


0 





Tabelle 4.5: Verschiedene endliche Automaten fur SSCOP. in-Abhangigkeit von der Ahnlich- 
keitsschwelle N 
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In diesen Versuchen wurde InfSM in. einem einzigen Lauf liber die gesamte Eingabesequenz 
ausgefuhrt. Bei einem /w/SM-Fenster von 1000 PDUs und einer daraus resultierenden An- 
wendung von InfSM* mit vier'uberlappenden Teilsequenzen (siehe Abschnitt 4.4.2) ergab sich 
jedoch stets derselbe Automat. Die Zahlen zu den nichtdeterministischen Situationen in der 
Tabelle zeigen, daB die in Abschnitt 4.3.5 angestellten theoretischen Uberlegungen, warum 
InfSM „bevorzugf' deterministische Transitioned bildet, in der Praxis bestatigt werden. 

Die Figuren A.57 bis A.59 zeigen drei verschiedene dieser abgeleiteten endlichen Automaten 
als Zustandsgraphen. Die SSCOP-PDU-Typen sind rxiit den Suffixen J {input) bzw. jo {output) 
als Ein- bzw. Ausgabe-PDUs gekennzeichnet. Figur A. 60 bietet eine grafische Darstellung des 
Zusammenhangs zwischen der Schwelle N und der AutomatengroBe |5| fur einen groBeren 
Wertebereich von TV. Die |S|-Achse ist hier logarithmisch skaliert, weil die Zustandszahl mit 
zunehmender Schwelle den sinnvollen Bereich sehr schnell verlaBt. 

Fur die Wahl einer sinnvollen Ahnlichkeitsschwelle N bestand urspriinglich die Idee, daB 
der Verlauf der Zustandszahl in Abhangigkeit von N einen RuckschluB auf die „richtige" 
Schwelle zulassen konnte — und damit auf die Zahl der Basiszustande, die der tatsachliche 
Protokollautomat in der IUT verwendet. Leider hat sich dieser RuckschluB als nicht allgemein 
moglich erwiesen, wie insbesondere das hier beschriebene Experiment zeigt: Erstens nimmt 
die Zustandszahl in recht groben Schritten ab, Zwischenwerte sind aufgrund der Definition des 
AhnlichkeitsmaBes pp (4.19) nicht moglich. Zweitens ist die einzige — allerdings deutliche — 
Auffalligkeit im Diagramm A.60, namlich die fur N = 2 und N = 3 identischen resultieren- 
den Automaten mit \S\ = 10 Zustanden, gerade kein Hinweis auf einen besonderen Attraktor 
innerhalb der Zustandszahlen, der auch aus Anwendungssicht ein Optimum darstellt. Denn ein 
Blick auf den in Figur A.59 dargestellten Automaten mit 10 Zustanden zeigt, daB hier bereits 
wesentliche Zustande der Protokollmaschine im Standarddokument zusammengefaBt worden 
sind: Zustand 0 bildet den Grundzustand der Kommunikation, der offenbar mit dem Zustand 
10 {data transfer ready, bereit zum Datentransport) aus dem Q.21 10-Standard identifiziert 
werden kann. Aber auch nach einem Abbau der Verbindung durch das Paar END J, ENDAK-O 
(Eingabe einer Abbauanforderung gefolgt von der Ausgabe einer Abbaubestatigung) landet 
der gelemte Automat iiber den Zustand 4 wieder im Zustand 0. 

Daher muB der Schwellenwert N anhand einer vom Benutzer als Parameter vorgegebenen 
maximalen Zustandszahl ermittelt werden. ^alsche" Automaten entstehen bei ungeschick- 
ter Schwellenwahl nicht, die Spezifikation fur das Ergebnis des Protokollernens (vgl. Ab- 
schnitt 4.1.1) wird immer erfullt. GroBere Zustandzahlen erhohen die Genauigkeit der gelern- 
ten Automaten, aber auch das Risiko des overfitting — des Lernens von Eigenschaften, die die 
Trainingsmenge, aber nicht das Zielkonzept des Protokolls charakterisieren. 

Immerhin lassen sich bereits in dem — von der Zustandsunterscheidung her zu stark abstra- 
hierenden — Automaten aus Figur A.59 die typischen Anfrage-Antwort-Paare des SSCOP- 
Protokolls ausmachen, unter anderem POLL gefolgt von STAT, RS gefolgt von RSAK und 
ER gefolgt von ERAK. Zustand 5 bildet einen vom Grundzustand der Kommunikation unter- 
schiedenen Fall einer abgebauten Verbindung, die mit dem Paar BGN.o 9 BGNAKJ iiber den 
Zustand 6 wieder aufgebaut werden kann. Ein bei Kenntnis des Originalprotokolls „besse- 
rei" Automat ist allerdings der in Figur A.58 dargestellte mit 21 Zustanden. Dieser Automat 
befindet sich nach einem ordentlichen Verbindungsabbau meist in einem anderen als dem 
Grundzustand 0,. namlich in einem der Zustande 7, 10 oder 15. DaB diese Zustande nicht un- 
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tereinander zusammengefaBt wurden, liegt letzteridlich an der Struktur der Trainingsmenge — 
es fehlen offenbar zu viele Kombinationen aus den moglichen Pra- und Ppstfixes des Verbin- 
dungsabbaus. Allerdings ist in diesem Automaten auch der Grundzustand, also Zustand 0 aus 
dem lOer- Automaten, hier bereits auf die Zustande 0 und 2 aufgespalten, wie man z. B. an der 
RSJ-RSAK-o-Sequenz von 0 liber 5 nach 2 erkennen kann; Die SD-PDU, die von Zustand 2 
nach Zustand 0 zuriickfuhrt, bewirkt im Protokollstandard keinen Zustandswechsel. 

Der Vergleich mit dem noch weniger abstrakten 2 7er- Automaten in Figur A.57 zeigt, daB dort 
auch noch der Zustand 1 als Variante des Grundzustands auftritt. Insbesondere die POLL- 
SZ4r-Paare der SSCOP fuhren zu Zustandswechseln zwischen 1 und 0. 

Zusammenfassend laBt sich sagen, daB der Automat mit 22 Zustanden aus Anwendungssicht 
den besten KompromiB darstellt — „zu viele" Zustande sind eher akzeptabel als „zu weni- 
ge'\ weil in der Anwendungsphase durch nichtdeterministische Transitionen ggf. der fur den 
Kommunikationsfortschritt passendere Folgezustand gewahlt werden kann. UbermaBige Zu- 
sammenlegung von Zustanden fuhrt dagegen immer zum Verlust der Fahigkeit des Analysa- 
tors, bestimmte ProtokollverstoBe zu erkennen. 



Attributregeln 



Um das Lernresultat in bezug auf die Attributregeln zu beleuchten, soli im folgenden der 
Automat mit 2 1 Zustanden betrachtet werden. Fiir ihn wurden fur eine maximale Kontextfen- 
stergroBe von w = 3 aus der Sequenz von 1953 PDUs insgesamt 31 Attributregeln gelemt. 
Davon beziehen sich 24 Regeln auf eine Dreiersequenz, 5 auf eine Zweiersequenz und 2 Re- 
geln auf Einzel-PDUs. Jede Attributregel muBte auf mindestens 10 Beispielen basieren. Die 
fur den gesamten LernprozeB — Automat und Attributregeln — benotigte Zeit liegt bei 198 Se- 
kunden auf einem PentiumPro-PC mit 128 MB Hauptspeicher und 200 MHz Takt. Davon 
entfallen nur etwa 24 Sekunden auf InfSM, 174 Sekunden benotigt LARGE fur das Erlemen 
der Attributregeln. 

Die gelernten Attributregeln konnen nur beispielhaft untersucht werden. Figur A.61 zeigt ein 
Beispiel einer Attributregel in der Rohversion, wie sie vom Lernalgorithmus ausgegeben wird. 

Um diese zwei Klauseln zu untersuchen, ist zunachst die Bedeutung der V{ zu erklaren. Die 
drei PDUs SD, SD, USTAT liefern die acht Attribute in folgender Weise: 

SDi (N(S) l =v 1 ,len l =v 2 ) 
SDi (N(S) 2 = ^3, len 2 = f 4 ) 
USTAT 0 (N{MR) z =v 5 ,N(R) s = vs,Ll s = v 7 ,L2 z = v B ).. 

Mit diesen Bezeichnungen der PDU-Felder, die aus dem Standard Q.2110 stammen, lassen 
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sich unter anderem folgende Beziehungen aus den Regeln in Figur A.61 ableiten: 

1 < N(S) l < 16 A lern = 1 A 
N(S) 2 =-iV(5)i + 2, A len 2 = 1 A 

N{MR) 3 = N(S) 2 + 7 A N(R) 3 = N(S) 2 - 1 A 2 < LI 3 < 17 A L2 3 = A^(5) 2 

V 

leni — 1 A 

^(5)2 = iV(5)x + 3 A Zen 2 = 1 A 

N(MR) 3 = N(S) 2 + 7 A N{R) 3 = JV(5) 2 — 1 A L2 3 = N(S) 2 + 1 

Das Senden von USTAT als Antwort auf die zweite SD-PDU ist eine Fehlerbehandlung in 
der SSCOP, hervorgerufen durch einen Sequenzfehler. Eigentlich miiBten die Laufhummem 
N(S) der 5D-PDUs fortlaufend hochgezahlt werden, dies ist bei den beiden hier beschriebe- 
nen Situationen aus der Beispielkommunikation nicht der Fall (N(S) 2 = N(S) 1 + 2 bzw. 
N(S) 2 = N(S)i + 3). Im USTAT gibt N(MR) die hochste empfangbare Laufhummer (Emp- 
fangsfenster) an, N(R) nennt die letzte ubersprungene PDU, N(S) 2 - 1 (vgl. [IT94a]). 

Natiirlich sind die FenstergroBe von 7, die Auslassung genau einer bzw. genau zweier PDUs 
ebenso wie das in der ersten Klausel kodierte Laufhummernintervall 1 ... 16 Spezialfalle, die 
aus der spezifischen Trainingsmenge stammen. Dies kann dem Algorithmus jedoch nicht als 
Fehler angelastet werden, da er ja nicht „wissen" kann ? welche dieser Aspekte zum Protokoll 
gehoren und welche nicht. 

4.6.2 Versuche mit TCP 

Dieser Abschnitt beschreibt die Versuche mit dem Intemet-Transportprotokoll TCP. 

TCP ist ein verbindungsorientiertes Protokoll mit einem Bestatigungs- und FluBkon-. 
trollmechanismus auf Basis eines gleitenden Fensters (sliding window). Das TCP- 
Kommunikationsmodell ist ein virtueller Datenstrom, in dem nicht die Pakete, sondern die 
einzelnen Oktette numeriert sind. TCP-PDUs werden in der Protokolldefinition [Pos80] als 
Segmente bezeichnet 

Leider gibt es in der Protokolldefinition keine Unterscheidung in verschiedene PDU-Typen, 
sondern nur ein Feld mit sechs Kennzeichen (flags), die angeben, welche Protokollfunktiona- 
litaten in der jeweiligen PDU angesprochen werden. Dies schlieBt die Festlegung ein ? welche 
. PDU-Felder vom Empfanger interpretiert werden sollen, Daher muBte fur einen sinnvollen 
Einsatz des Lernverfahrens eine Einteilung in PDU-Typen vofgenommen werden, die sich an 
den Kennzeichen der PDUs orientiert. Die sechs Kennzeichen haben die folgenden Bedeutun- 
gen: 

URG (urgent pointer field significant) Es sind „dringende" Daten bis zu einer angegebenen 
Position im Datenstrom vorhanden. Dies sollte dem Empfanger angezeigt werden. 

ACK (acknowledgement field significant) Mit dieser PDU werden empfangene Daten bis zu 
einer ^angegebenen Position im Datenstrom bestatigt. - 
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EOL (end of letter) Erlaubt die Kennzeichnung einer Nachrichterigrenze innerhalb des Da- 
tenstroms. 

RST (reset the connection) Anweisung an den Empfanger, die Verbindung ohne weitere In- 
teraktion zu loschen. 

SYN (synchronize sequence numbers) Wird beim Verbindungsaufbau verwendet nnd zeigt 
den Start der Oktettnumerierung an. Tatsachlich belegt das SlW-Bit zum Zwecke der 
Eindeutigkeit die Sequenznummer vor dem ersten Datenoktett. 

FIN (no more data from sender) Zeigt an, daB der Sender in dieser Verbindung keine wei- 
teren Daten schicken wird. Das FIN-Bit belegt die Sequenznummer nach dem letzten 
Datenoktett. 

Fur den Lernversuch wurden nach MaBgabe dieser Kennzeichen die in Tabelle 4.6 aufgezahl- 
ten PDU-Typen definiert. Die Kennzeichen RST, SYN und FIN bedingen — in dieser Reihen- 
folge — jeweils eigene PDU-Typen. Zu jedem PDU-Typ ohne ACK gibt es ein Pendant mit 
gesetztem^CAT. Die fur den Protokollablauf unerheblichen Kennzeichen URG und EOLwev- 
den ignoriert. 







Kennzeichen 






PDU-Typ 


URG 


ACK 


EOL 


RST 


SYN 


FIN 


RSTA 


? 


1 


? 


1 


? 


? 


RST 


? 


0 


? 


1 


? 


? . 


SYNA 


? 


1 


? 


0 


1 


? 


SYN 


? 


0 


? 


0 


1 


? 


FINA 


? 


1 


? 


0 


0 


1 


FIN 


? 


0 


? 


0 


0 


1 


ACK 


? 


1 


? 


0 


0 


0 


DATA 


? 


0 


? 


0 


0 


0 



Tabelle 4.6: Fur den Lernversuch mit TCP definierte PDU-Typen und ihre Beziehung zu den 
Segment-Kennzeichen von TCP. 

Die Beispielspuren fur die TCP-Experimente wurden mit Hilfe des Unix-Werkzeugs tcpdump 
[Law98] im laufenden Betrieb eines lokalen Netzes gewonnen. Die PDU-Schnittstelle des 
Lernprogramms fiir TCP kann jede mit der Option -w von tcpdump erzeugte Mitschnittdatei 
lesen. Da solche Mitschnitte jedoch im allgemeinen mehrere gleichzeitige TCP- Verb indungen 
enthalten — beziehungsweise die Auswahl der richtigen Quell- und Ziel-Ports zum Heraus- 
filtern einer speziellen Verbindung kaum a priori moglich ist — wurden die Mitschnitte ei- 
ner Vorverarbeitung mit dem dafur entwickelten Hilfsprogramm tcp^split unterzogen: Das 
Programm erzeugt eine konvertierte Mitschnittdatei, in der die ursprunglich parallelen Ver- 
bindungen hintereinander abgelegt sind. AuBerdem werden alle Verbindungen entfemt, zu 
denen innerhalb eines konfigurierbaren Zeitfensters tidu am Beginn oder Ende des urspriing- 
lichen Mitschnitts PDUs aufgetreten sind. Dem liegt die heuristische Annahme zugrunde, 
daB eine TCP- Verbindung, zu der fur eine Zeitspanne t id i e keine PDUs beobachtet werden, 
sich tatsachlich im inaktiven Zustand befindet, also nicht mehr vorhanden ist. Die Verkettung 
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zweier unterschiedlicher Verbindungen durch tcpjsplit erfolgt, sofern diese Annahme zutrifft, 
also immer in diesem inaktiven Zustand. Daher ist es sinnvoll, die resultierende Spur insge- 
samt als Lehrbeispiel fur einen Protokollautomaten anzusehen. Daruber hinaus laBt sich eine 
Minimal- und eine Maximalzahl von PDUs angeben, auBerhalb derer eine Verbindung nicht 
in den konvertierten Mitschnitt ubemommen wird. Figur A.62 verdeutlicht die geschilderte 
Funktionsweise des Werkzeugs tcpjplit an einem Beispiel. 

Hier sollen zwei Lehrbeispiele des Protokolls TCP betrachtet werden, deren Eckdaten in der 
folgenden Tabelle zusammengefaflt sind. Die drei letzten Spalten beziehen sich auf die Para- 
meter der Vorverarbeitung mit tcpsplit; 



Beispiel 


Anzahl 
PDUs 


Verbindungen 


Zeitfenster 

tidle [S] 


min. PDUs pro 
Verbindung 


max. PDUs pro 
Verbindung 


A 


1625 


28 


900 


40 




B 


11867 


385 


3600 


10. 


500 



Endlicher Basisautomat 

Tabelle 4.7 gibt einen Uberblick uber verschiedene endliche Automaten, die als Lernresul- 
tat tiber die beiden Beispielsequenzen auftreten. Die zweite Sequenz, B, ist mit 1 1867 PDUs 
zu lang fur einen einzelnen InfSM-Lzuf, sie wurde daher in 11 /n/SM-Durchlaufen bei einer 
FenstergroBe von 2000 PDUs mit Hilfe von InfSM* gelernt. Da sich die vorgegebene Ma- 
ximalzahl von Zustanden - siehe zweite Spalte der Tabelle - auf die einzelnen Durchlaufe 
bezieht, kann die Zustandszahl des resultierenden Automaten nach der Kombination der ein- 
zelnen Zustandsaquivalenzen in beide Richtungen von dieser Vorgabe abweichen. Eine Anga- 
be des Schwellenwertes N als unabhangige Variable, wie in der entsprechenden Tabelle 4.5 
fiir die SSCOP-Experimente, ist hier nicht sinnvoll, da die gewahlte Schwelle von Durch- 
lauf zu Durchlauf variiert. Das Diagramm in Figur A.66 stellt den Zusammenhang zwischen 
Schwelle N und Zustandszahl |5| fur jeden einzelnen Durchlauf von InfSM dar - fiir die 
Beispielsequenz B sind also 1 1 Graphen eingezeichnet. 



Beispiel 


Soll- 


Zustande 


Kanten 


nichtdet. 


Figur 




Zustande 


\s\ 




Situationen 


B 


8 


4 


15 


3 




B 


10 


8 


20 


2 




B 


11. ..12 


9 


22 


3 




B 


13...15 


8 


21 


2 


A.63 


B 


16...19 


!7 


34 


3 


A.64 


B 


20 


22 


40 


4 




A 


14 


12 


23 


3 


A.65 



Tabelle 4.7: Verschiedene endliche Automaten fur TCP. 

Man sieht, daB die gelernten Automaten wiederum nur wenige nichtdeterministische Transi- 
tionen aufweise'n. Durch das Mehrstufenverfahren InfSM* ergibt sich eine relativ grobe Abstu- 
fung der unterschiedli'ch abstrakteh Automaten. Das Diagramm zeigt sehr groBe Uriterschiede 
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im Verlauf der Zustandszahl zwischen den verschiedenen Abschnitten der 5-Sequenz. Beson- 
ders dadurch bietet sich auch hier keinerlei Ansatzpunkt fur eine automatische Auswahl des 
„besten" Automaten in bezug auf deri Abstraktionsgrad. 

Die Figuren A.63 bis A.65 zeigen drei der in Tabelle 4.7 aufgefuhrten Automaten als Zu- 
standsgraphen. Der Automat in Figur A.63 resultiert aus der langen Beispielsequenz B. Er 
wurde aus Einzelrelationen mit hochstens 13 bis 15 Zustanden zusammengefugt, woraus sich 
nach der Uberlagerung insgesamt 8 Basiszustande ergaben. Zahlreiche Transitionen des Au- 
tomaten beginnen und enden in Zustand 0, wie man leicht an den iibereinandergedruckten 
Kantenbezeichnern erkennt Dieser Zustand stellt also den Grundzustand des Kommunikati- 
onsablaufs dar und wird wahrend der normal en Datenubertragungsprozeduren nicht verlassen. 
Leider ist auch der Zustand einer inaktiven Verbindung im Automatenzustand 0 angesiedelt, 
denn alle SYN- und SKY^-Kanten beginnen dort. Der in der Figur untere Teil des Automaten 
modelliert aber gut verschiedene mogliche Ablaufe des Verbindungsabbaus mit dem FIN- 
Kennzeichen und seiner Bestatigung. Die in Tabelle 4.7 genannten weiteren Automaten mit 8 
bzw. 9 Zustanden unterscheiden sich nur marginal vom abgebildeten. 

Figur A. 64 zeigt den Automaten mit 17 Zustanden, der sich ergibt, wenn man die Einzelre- 
lationen auf hochstens je 16 Zustande begrenzt. Man erkennt, daB die beiden Zustande 8 und 
12 offenbar redundant sind. Dies laBt sich nur damit erklaren, daB die SYN-o-SYNAJ-VeieLre 
im Beispiel B so selten bzw. mit teilweise so groBem Abstand auftreten, daB trotz 1 000 PDUs 
Uberlappung zwischen den Lernabschnitten keine Zusammenfassung der zugrundeliegenden 
Sequenzpositionen erfolgt ist (vgl. Abschnitt 4.4.2). Gegeniiber dem ersten Automaten sind 
zahlreiche Zustande aufgespalten worden. Bei genauerer Betrachtung wird deutlich, daB die 
Zustande 0 bis 3 erhalten geblieben sind. Zustand 4 ist allerdings aus dem „Gruiidzustand" 0 
herausgelost worden, so daB aus 5 und 6 jetzt 6 und 7 geworden ist. Ein Vergleich zwischen 
dem neuen Sektor links unten im Automaten und der schon bekannten Gruppe der ersten 
acht Zustande deutet darauf hin, daB bei 17 Zustanden bereits eine ubermaBige Verfeinerung 
eingesetzt hat. 

In Figur A.65 ist zum Vergleich ein Automat dargestellt, der aus der mit 1625 wesentlich 
kurzeren Beispielsequenz A abgeleitet wurde. Es fallt auf, daB er kaum Ahnlichkeiten mit den 
Ergebnissen zur Sequenz B aufweist: Sowohl die fur feste PDU-Paare zustandigen Zustande 
4 und 5 als auch die beiden groBeren Schleifen finden keine funktionale Entsprechung in 
topologisch verwandten Konstrukten der beiden ersten vorgestellten Automaten. Die einzi- 
ge Gemeinsamkeit besteht offenbar darin, daB ein einziger Zustand den GroBteil der Proto- 
kollprozeduren alleine ubernommen hat. Einige Details — wie die RST.o-RST.o- Sequenz hier 
gegeniiber RSTJ-RSTJ in Figur A. 64 — deuten darauf hin, daB es signifikante strukturelle 
Unterschiede in den Trainingsbeispielen gibt, obwohl diese fur ein relativ einfaches Protokoll 
wie TCP bereits recht lang sind. 

Attributregeln 

Fur den vollstandigen Lernvorgang einschlieBlich der Attributregeln wurde der Automat mit 
8 Zustanden ausgewahlt (siehe Figur A.63). Es wurden Regeln iiber ein Kontextfenster von 
hochstens 3 PDUs aus jeweils mindestens 10 Beispielen pro Regel gelernt. Der vollstandige 
Lernvorgang aus 1 1867 PDUs dauert auf einem PentiumPro-Rechner mit 200 MHz Takt und 
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128 MB Hauptspeicher 93 min, wovon etwa 6 min auf In/SM* und 87 min auf LARGE ent- 
fallen. Gelernt werden 48 Regeln fiber drei aufeinanderfolgende PDUs, 14 Regeln iiber zwei 
aufeinanderfolgende PDUs und 7 Regeln iiber Einzel-PDUs, insgesamt also 69 Attributregeln. 
Als Demonstration einer abgeleiteten Attributregel soil hier die Sequeriz ACK J, FINAJ, 
ACK-o iiber die Zustande 0 und 1 zum Zustand 2 dienen. Figur A.67 zeigt wieder die Rohfas- 
sung der gelemten Regel. 

Zum Verstandnis dieser Vorschrift benotigt man die Zuordnung der numerierten Attribute zu 
den PDU-Feldern: 

ACKi (con! = v u SEQ l = v 2 , WND-i = v 3 , flags x = v 4 , ACK X = v 5 ) 
FINAi (con 2 = v 6 , SEQ 2 = v 7 , WND 2 = v s , flags 2 = v 9 , ACK 2 = v 10 ) 
ACK 0 (con 3 = v u , SEQ 3 = v 12 , WND 3 = v 13 , flags 3 = v 14 , ACK 3 = v lb ) 

Wahrend SEQ, WND und ACK PDU-Felder gemaB der TCP-Definition [Pos80] sind, sind die 
beiden ubngen Feldarten an das Lernproblem angepaBte Reprasentationen: 

con Bezeichnet die zugehorige Verbindung {connection) und wird aus Quell- und Ziel-Port- 
Nummer von TCP gebildet. Mit Hilfe dieses Feldes lassen sich Kontextregeln iiber ein 
Verbindungsende hinaus erkennen. 

flags Bitsigriifikanter Wert, der sich aus denjenigen Kennzeichen aus der TCP-PDU zusam- 
mensetzt, die nicht aus dem zugewiesenen PDU-Typ hervorgehen (vgl. Tabelie;4.6). 

Auf Basis dieser Feldbezeichner kann die Regel aus Figur A.67 umformuliert werden zu: 

corii = con 2 = con 3 
A ACK 3 = SEQi ■ + 1 = SEQ 2 + 1 
A WNDi = WND 2 = WND 3 = 8760 
A flags x = flags 2 = flags 3 = 0 
A 5^ = ACK 2 = ACKi 



Diese Beziehungen sagen aus, daJ3 die drei PDUs zur selben TCP-Verbindung gehoren und 
dafi kerne weiteren Kennzeichen (auBer ACK und FIN) verwendet werden. Insbesondere der 
typische Mechanismus, daB das FIN-Bix eine eigene Sequenznummer tragt, die mit ACK 3 
bestatigt werden muB, wird genau abgebildet. Beim festen Wert der Empfangsfenster-Felder 
WND wird aber wieder deutlich, daB selbst eine so groBe und unter vollig realistischen Be- 
dmgungen aufgenommene Trainingsmenge nicht vor implementierungsspezifischen Beson- 
derheiten schutzt. 



Kapitel 5 

Bewertung und Ausblick 



Dieses Kapitel bewertet den praktischen Nutzen der beiden in dieser Arbeit entwickelten Ver- 
fahren und untersucht, wie sinnvolle Erweiterungen und Erganzungen dieser Ansatze ausse- 
henkonnten. 



5.1 Vergleichende Bewertung 

Zunachst soil die praktische Brauchbarkeit der^ entwickelten Verfahren, Spuranalyse mit 
FollowSM und Protokollernen mit InfSM und LARGE, sowohl pro Verfahren als auch ver- 
gleichend bewertet werden. Die Kriterien zur Bewertung gliedern sich in die Vollstandigkeit 
der Fehlererkennung, die Korrektheit von Meldungen tiber Fehler, die Transparenz der Analy- 
seergebnisse fur den Benutzer in Abhangigkeit von dessen Sachkenntnis, den Aufwand fur die 
Erzeugung eines Analysators fur ein konkretes Protokoll sowie den Aufwand der eigentlichen 
Analyse. 

5.1.1 Vollstandigkeit 

Mit Vollstandigkeit ist die Vollstandigkeit der Fehlerdetektion gemeint, also die Frage, ob alle 
denkbaren Arten von Fehlverhalten relativ zum zugrundeliegenden Kommunikationsprotokoll 
vom Analyseverfahren erkannt werden. Um die Dualitat zur Frage der Korrektheit zu verdeut- 
lichen, entspricht das der Frage, ob aus dem Auftreten eines ProtokollverstoBes grundsatzlich 
eine Fehlermeldung folgt. 

Beim FollowSM- Verfahren wird, sobald die Synchronisationsphase beendet ist und die Zu- 
standsbeschreibungen keine unsicherheitsbehafteten Eintrage mehr enthalten, ein gewisses 
MaB an Vollstandigkeit erreicht: Alle im OTEFSM-Modell enthaltenen Protokollregeln wer- 
den dann vollstandig iiberwacht. Allerdings gibt es Falle, in denen man auf eine derartige 
vollstandige Modellierung verzichten muB: 

• Die Unabhangigkeitspramisse (vgl. Abschnitt 33.4) erlaubt keine expliziten Manipu- 
lationen eines Systemzustands, der mehrere Einzelautomaten umfaBt. Protokolle, die 
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darauf angewiesen sind, konnen nur unter Verzicht auf Vollstandigkeit in den entspre- 
chenden Situationen modelliert werden. 

• Eine Abbildung sehr komplexer Datenstrukturen.ini Protokollzustand in die unsicher- 
heitsbehaftete Zustandsreprasentation in FollowSM kann dazu fuhren, daB der Suchauf- 
wand im Zustandsraum zu grofi wird oder sogar Endlosschleifen im unsicherheitsbe- 
hafteten Zustandsraum entstehen. Letzteres geschieht, wenn die Voraussetzung fur das 
Schalten einer Transition- auch im erzeugten Folgezustand erhalten bleibt. In solchen 

■ Fallen muB der gunstigste Fall im Hinblick auf korrektes Protokollverhalten angenom- 
men, mithin auf Vollstandigkeit verzichtet werden. 

• Aus Sicht des Benutzers verletzt schon die — formal unvermeidliche — unvollstandige 
Fehlererkennung in der Synchronisationsphase (vgl. Theorem 4 in Abschnitt 3.2.2) das 
Vollstandigkeitsgebot. 

Trotzdem weist das FollowSM-Verfahren eine sehr hohe Fehlererkennungsquote auf, weil es 
den Datenanteil des Protokollzustands, die Datenfelder der PDUs und Zeitbedingungen iiber- 
priift und Ursache und Wirkung von Protokollereignissen prazise modelliert sind. Die expe- 
rimentelle Bestatigung fur die gute Fehlererkennungsfahigkeit wurde in Abschnitt 3.5.3 im . 
Zusammenhang mit den Versuchen bei der GMD erbracht. . 

Fur die Spuranaly se in der Anwendungsphase eines erlemten Protokollautomaten kann dage- 
gen unter keinen Umstanden Vollstandigkeit zugesichert werden. Dies liegt daran, daB sowohl 
dex LARGE-Algorithxmis beim Lernen der Attributpradikate als a^ch der /n/W-Algorithmus . 
bei der Erzeugung des PDU-Typen-Automaten zwangslaufig iiber die Lehrbeispiele hinaus 
generalisieren miissen, weil die Trainingsmenge nur eine kleine Stichprobe des korrekten 
Verhaltens darstellt. AuBerdem hangt das Fehlererkennungsvermogen eines gelernten Ana- 
lyseautomaten naturlich sehr stark von der Qualitat des verwendeten Trainingsverkehrs ab, 
welche sich wiederum ohne a priori vorhandenes Protokollwissen kaum abschatzen laBt. Ob- 
wohl sich diese Unzulanglichkeiten aus der Natur der Sache ergeben, lassen sie sich insbe- 
sondere im Hinblick auf ein kommerzielles Produkt dem Benutzer eines Spuranalysators nur 
schwer vermitteln. 



5.1.2 Korrektheit 

Mit Korrektheit ist die Korrektheit der Fehlerdetektion gemeint, d. h. die Frage, ob es 
tatsachlich nur bei Vorliegen eines ProtokollverstoBes zu einer Fehlermeldung des Analysators 
kommen kann. Dies entspricht der Frage, ob aus dem Erhalt einer Fehlermeldung grundsatz- 
lich das Vorliegen eines ProtokollverstoBes folgt. 

Bei der Spezifikation der unsicherheitsbehafteten Spuranalyse in Abschnitt 3.2.2 wurde der 
Korrektheit unbedingter Vorrang gegeniiber der Vollstandigkeit eingeraumt. Dies ist sinnvoll, 
weil die hier betrachteten Spuranalysatoren in einem Kontext zum Einsatz kommen, in dem 
sonst keinerlei Fehler gefunden werden. Unvermeidliche Unzulanglichkeiten eines Analy- 
sators sollten sich eher in einer nur teilweisen Losung der Erkennungsaufgabe auBem als 
den Benutzer mit einer Flut vori uhzutreffenden Fehlermeldungen zu konfrdntieren. Dies gilt 
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ganz besonders dann, wenn der Benutzer selbst gar nicht liber die erforderlichen Kenntnisse 
verfugt, urn im Einzelfall zutrefFende von unzutreffenden Fehlermeldungen zu unterscheiden. 

Beim FollowSM- Verfahren kann die Korrektheit aller Fehlermeldungen garantiert werden, 
sofern bei der OTEFSM-Modellierung keine Entwurfsfehler unterlaufen sind (vgl. Theorem 3 
in Abschnitt 3.2.2). Diese Aussage relativiert sich nur insoweit, daB der gemeldete Fehler 
nicht immer mit der tatsachlichen intemen Fehlfunktion der IUT ubereinstimmen muB, weil 
der eigentlich zutrefFende Pfad im Zustandsraum durch die Fehlfunktion fruher verworfen 
worden sein kann als ein oder mehrere zunachst moglich erscheinende Alternativpfade (vgl. 
Abschnitt 3.3.6). 

Beim Resultat des Lemverfahrens kann auch die Korrektheit der Fehlermeldungen nicht ga- 
rantiert werden, da man nie ausschlieBen kann, daB irgendeine korrekte Protokollprozedur 
wahrend der Lernphase nicht aufgetreten ist und dann, in der Analysephase beobachtet, zu 
einer unzutreffenden Fehlermeldung fuhrt. ( 

5.1.3 Transparenz der Diagnosen 

Dieses Kriterium zielt darauf ab, ob und inwiefem die vom Analysator erzeugten Diagnose- 
und Fehlermeldungen fur den Benutzer hilfreich sind, um die zugrundeliegenden Fehlfunk- 
tionen zu beseitigen. Das ist ja das eigentliche Ziel beim Einsatz eines Spuranalysators in dem 
in dieser Arbeit angenommenen Kontext. 

Das FollowSM- Verfahren erreicht eine gute Aussagekraft der Diagnosemeldungen. Besonders 
die in Abschnitt 3.3.6 beschriebenen Ergebnisberichte auf hoherer Abstraktionsebene, darun- 
ter die Parameterschatzung und die Fehlerklassifikation mit -statistik, sind aus Benutzersicht 
wertvoll und vermeiden dabei eine Uberfrachtung mit Detailinformationen. v 

Die hohe Aussagekraft erreicht FollowSM dadurch, daB es auf Begriffe und Bedeutungen aus 
der originalen Protokollspezifikation zuriickgreifen kann, um die erkannten Fehlersituationen 
und Fehlfunktionen zu charakterisieren. Dies bedeutet nattirlich auch, daB ein Benutzer liber 
Kenntnisse des Zielprotokolls verfugen muB, um die von FollowSM erzeugten Ergebnisbe- 
richte vollstandig nutzen zu konnen. Die Situation zeigt Parallelen mit den Fehlermeldungen 
eines Ubersetzers fur eine Programmiersprache: Wer die jeweilige Programmiersprache nicht 
kennt oder sogar uberhaupt nicht programmieren kann, wird mit den Fehlermeldungen eines 
Ubersetzers auch nichts anzufangen wissen. Aber ein Benutzer des Ubersetzers, der die Pro- 
grammiersprache beherrscht, ist darauf angewiesen, daB die Fehlermeldungen sehr genau auf 
Details der Fehlersituation und den Zusammenhang zur Sprachdefinition eingehen. Ebenso 
erlauben die Fehlerbeschreibungen von FollowSM, die eine Fehlersituation ja durch die letzte 
passende Zustandsbeschreibung und den Grund fur das Scheitem ihrer Fortschreibung cha- 
rakterisieren, vor allem einem Protokollexperten eine sehr effiziente und tiefgehende Analyse 
der vorliegenden Fehlfunktion in der IUT. 

Die Analysephase beim Lernverfahren ist in der Aussagekraft der Meldungen deutlich un- 
terlegen. Zwar konnen auch hier die auftretenden Fehlerereignisse durch das letzte Teil des 
durchlaufenen Pfades im Automaten der PDU-Typen dokumentiert werden und dadurch, ob 
der nachste PDU-Typ oder die Attributierung der nachsten PDU fur das Scheitem der Zu- 
standsverfolgung verantwortlich war. Weil der Analyseautomat aber erlemt ist und keinerlei 
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Informationen iiber die Semantik seiner Zustande und Attributpradikate zur Verfugung stehen, 
ist derNutzen solcher Angaben im Hinblick auf eine Fehlerbeseitigung auBerst begrenzt. Au- 
Berdem miissen die Effekte moglicher Nachrichtenkreuzungen (vgl. Abschnitt 2.2.1) durch 
alternative Ablaufe im Automaten nachgebildet werden, was diesen weniger abstrakt und 
logisch macht als den Automaten, der den Protokollentwurf beschreibt. Ob Fehler nur der 
IUT oder auch der Partnerinstanz erkannt werden, hangt leider ausschlieBlich vom Charak- 
ter des Beispielverkehrs ab, namlich von der An- oder Abwesenheit von ProtokollverstoBen 
der Partnerinstanz darin, wie in Abschnitt 2.2.2 geschildert. Am ehesten eignen sich die Aus- 
gaben des gelemten Analysators fur einen Vergleich verschiedener Kommunikationsstrecken 
oder -systeme, wie ja das Verfahren im Grunde immer auf einen Vergleich zwischen der zum 
Training verwendeten Beispielkommunikationmit den spater beobachteten Kommunikations- 
ablaufen hinauslauft. Allerdings ware es keineswegs sachgerecht, einem Verfahren, daB ge- 
rade ohne eine Protokollspezifikation fur das Zielprotokoll auskommen soli (vgl. Einleitung), 
die mangelnde Fahigkeit vorzuwerfen, auf eine Protokollspezifikation bezogene Diagnosen zu 
produzieren. Letztlich setzt die beschriebene Relativitat der Analyseergebnisse des Lernver- 
fahrens die Fahigkeit des Benutzers voraus, diese Ergebnisse angemessen zu interpretieren. 
Damit ist auch in diesem Fall einem Protokollexperten durch das Werkzeug mehr gedient als 
einem Anwender ohne spezielle Sachkenntnis. 



5.1.4 Anpassung an das Zielprotokoll 

Die Anpassung des Verfahrens an ein neues Zielprotokoll, also die Generierung eines pro- 
tokollspezifischen Analysators, kommt beim FollowSM- Verfahren nicht ohne einen gewis- 
sen Anteil an Entwurfsarbeit aus; selbst dann nicht, wenn eine SDL-Spezifikation zur auto- 
matischen Ableitung des Gerusts der OTEFSM-Spezifikation fur FollowSM verwendet wird 
(vgl. Abschnitt 3.4.2). Allerdings kann die Verwendung der SDL-Spezifikation die Entwick- 
lungszeit drastisch verkttrzen. Wahrend die Anpassung an ein komplexes, reales Protokoll 
bei verfugbarer SDL-Spezifikation, aber manueller Erstellung der OTEFSM-Spezifikation in 
der GrOBenordnung eines Personenmonats dauert, laBt sich diese Zeit unter Verwendung des 
beschriebenen SDL-Ubersetzers auf etwa ein Viertel reduzieren. Dieser Anpassungsaufwand 
durfte fur zahlreiche Anwendungen akzeptabel sein. 

Die wesentliche Starke des Lemverfahren ist, daB es den Anpassungsaufwand pro Zielpro- 
tokoll ininimiert, insbesondere den Anteil manueller Arbeit dabei. Diese beschrankt sich auf 
..die Erstellung eines einfachen Protokoll-Dekoders, weil die Herleitung der Attribute aus dem 
Nachrichtenstrom ja aus der Lernaufgabe ausgeklammert worden ist (vgl. Abschnitt 4.1.1). 
Ein solcher laBt sich in vielen Fallen innerhalb eines einzelnen Arbeitstages erstellen. An- 
schlieBend ist ein Beispielverkehr aus beispielsweise 100.000 PDUs aufzunehmen und auszu- 
werten. Die Zeit fur die Aufnahme hangt natiirlich vom Kommunikationsaufkommen auf dem 
Beispielkanal ab. Die reine Rechenzeit fur die Auswertung wird nach den mit dem Prototyp 
erzielten Ergebnissen aus Abschnitt 4.6 dann in der GroBenordnung eines Tages liegen. Be- 
sonders hervorzuheben ist, daB sowohl die Aufnahme als auch die Auswertung des Beispiel- 
verkehrs ohne jedes menschliche Zutun erfolgen konnen und daher nur sehr geringe Kosten 
verursachen. 
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5.1.5 Aufwand der Analyse 

Der Rechenzeitaufwand fur den Analysealgorithmus ist in beiden Fallen linear in der Beob- 
achtungsdauer und der Speicherauiwand konstant (siehe Abschnitte 3.3.3 und 4.5), was beide 
Verfahren fur eine Echtzeitanalyse synchron zur Beobachtung qualifiziert. Welche Bandbrei- 
ten konkret als Obergrenzen fur einen solchen „Online"-Betrieb anzusetzen sind, hangt im 
Einzelfall sdwohl von der verwendeten Hardware des Analysators als auch von der Komple- 
xitat des Zielprotokolls ab. Der in Abschnitt 3.5.3 erhaltene Wert von 200 bis 400 analysierten 
PDUs pro Sekunde auf einem Arbeitsplatzrechner von recht geringer Rechenleistung hat ge- 
zeigt, daB „Online"-Analysen in bestimmten Anwendungsfallen moglich sind. Im Vergleich 
ist beim Lernverfahren eher mit niedrigerem Zeitbedarf zu rechnen, weil die Suche im Zu- 
standsraum hier stets linear fortschreitet 

Trotzdem darf man nicht iibersehen, daB beim Stand der Technik in der Breitbandkommuni- 
kation, wo viele Protokolle bis mindestens in die OSI-Schicht 2 in Hardware implementiert 
werden mussen, um mit der Datenrate mithalten zu konnen, Spuranalysatoren in der Verarbei- 
tungsgeschwindigkeit immer hinter den schnellsten Protokollimplementierungen zuriickblei- 
ben, weil sie komplizierter sind und ihre Implementierung in Hardware wirtschaftlich nicht 
lohnt. 

5.1.6 Resiimee 

Tabelle 5.1 stellt den Vergleich der untersuchten Verfahren anhand der genannten Merkmale 
zusammengefaBt dar. Als Resiimee laBt sich aus Sicht des Autors folgendes feststellen: 

1 . Das FollowSM- Verfahren zeigt zweifelsfrei einen hohen NutzefFekt im praktischen Ein- 
satz, sofem die Anwendung die Kosten der Protokollanpassung rechtfertigt. Es eignet 
sich allerdings besser als hochspezialisiertes Werkzeug fur Spezialisten denn als univer- 
selles „Troubleshooting-Tool" fur die Endanwender der Kommunikationssysteme. ' 

2. Das Lernverfahren ist vom praktischen Nutzwert demgegeniiber stark eingeschrankt. 
Der gelernte Analysator kann aber immerhin verwendet werden, um einen ersten Ein- 
druck von der Korrektheit einer Protokollimplementierung zu erhalten. Angesichts 
seiner sehr niedrigen Rentabilitatsschwelle infolge der minimalen Anpassungskosten 
und weil keine Informationen fiber das korrekte Protokollverhalten benotigt werden, 
sind sinnvolle Anwendungsgebiete des Lemansatzes durchaus vorhanden. Der Lernan- 
satz liefert insbesondere eine sehr stark komprimierte Charakterisierung des jeweiligen 
Lehrbeispiels. Der gelernte Automat beschreibt nanilich sdmtliche Situationen, die im 
Lehrbeispiel aufgetreten sind. Damit stellt das Erlemen eines Protokollautomaten eine 
sehr sinnvolle MaBnahme dar, um einen ersten Uberblick uber das Verhalten eines zu 
analysierenden Zielsystems zu erhalten.. 

5.2 Ansatze fur Weiterentwicklungen 

In diesem Abschnitt sollen Moglichkeiten erortert werden, wie die entwickelten Verfahren 
weiterentwickelt werden konnten, um ihren Einsatz zu vereinfachen und ihren Nutzen zu 
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Kriterium 


FollowSM-Verfahren 


Lernverfahren InfSMILARGE 


Vollstandigkeit 


Erkennt nach der Synchronisa- 
tionsphase alle VerstoBe gegen 
modellierte Regeln. 


Erkennt nicht alle Fehler, 
abhangig von der Trainingskom- 
munikation. 


Korrektheit 


Alle Fehlermeldungen sind zu- 
trefTend. 


Fehlermeldungen konnen auch 
aus Lxicken in der Trainingskom- 
munikation resultieren. 


Aussagekraft der 
Diagnose 


AuBerst hilfreich und arbeitsspa- 
rend fur Protokollexperten. Be- 
dingt hilfreich fur Endanwender. 


Grobe Einstufung fur Proto- 
kollexperten. Fiir Endanwender 
kaum zu empfehlen. 


Anpassung an 
neue Protokolle 


GroBenordnung eine Perso- 
nenwoche Entwicklungsarbeit 
bei Verwendung einer SDL- 
Spezifikation. 


GroBenordnung ein Personentag 
Entwicklungsarbeit zuziiglich 
einige Stunden bis wenige Tage 
Rechenzeit fur AufhalMle der 
Trainingskommunikation und 
LernprozeB. 


Aufwand bei der 
Analyse 


Gering. Zeitbedarf linear in der 
Beobachtungsdauer, Speicher- 
bedarf konstant. In vielen Fallen 
„Online" -Analyse moglich. 


Gering. Zeitbedarf linear in der 
Beobachtungsdauer, Speicher- 
bedarf konstant. Konstanten 
kleiner als bei FollowSM. In 
vielen Fallen „Online" -Analyse 
moglich. 



Tabelle 5.1: Gegentiberstellung der in dieser Arbeit untersuchten Verfahrenstypen anhand der 
wesentlichen Bewertungskriterien. 
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erhohen. Die entscheidenden Ansatzpunkte fur Verbesserungen sind: 

1. Die mangelnde Eignung beider Verfahren fur Anwender ohne Expertenwissen tiber das 
Zielprotokoll. 

2. Der Bedarf nach manueller Unterstutzung bei der Erstellung eines protokollspezifischen 
Analysators nach dem FollowSM- Verfahren. 

Folgende Ideen fur Verbesserungen werden in den nachsten Abschnitten betrachtet: Die Ver- 
wendung von Hybridverfahren, die Nutzung eines Expertensysteiris als Interpretationsschicht 
und eine bedingungslose SDL-Basierung der Spuranalyse ohne manuelle Nachbearbeitung. 

5.2.1 Hybridverfahren 

Mit Hybridverfahren ist gemeint, daB mehrere Analyseverfahren gleichzeitig verwendet wer- 
den, um die Starken der Einzel verfahren zu kombinieren und ihre Schwachen auszugleichen. 
Diese Idee stammt aus der Anfangsphase der Entwicklung der einzelnen Analyseverfahren. 

Die Nutzung eines Hybridverfahrens ist dann theoretisch sinnvoll, wenn unterschiedliche Ver- 
fahren vorliegen, die zueinander orthogonale Vorteile in einem oder mehreren bestimmten 
Qualitatskriterien aufweisen, um insgesamt eine Verbesserung in genau diesem bzw. die- 
sen Qualitatkriterien zu erreichen. Dazu ein Beispiel: Wenn ein Analyseverfahren vor al- 
lem VerstoBe gegen Zeitbedingungen findet und ein anderes vor allem falsch kodierte PDUs, 
so konnte eine Kombination beider Verfahren eine wirkliche Verbesserung hinsichtlich des 
Vollstandigkeitskriteriums bringen. 

Die beiden hier entwickelten Ansatze sind aber nicht in der Auspragung einzelner Qualitats- 
kriterien zueinander orthogonal, sondern in den Voraussetzungen ihrer Anwendung: Das Lern- 
verfahren kann in Fallen benutzt werden, in denen notige Informationen fur die Anwendung 
von FollowSM fehlen, dessen Einsatz also ausgeschlossen ist. FollowSM gleicht dies durch 
insgesamt bessere Analysequalitat in alien qualitatsbezbgenen Kriterien aus. Eine Kombina- 
tion macht unter diesen Voraussetzungen keinerlei Sinn. Denn immer wenn ein FollowSM- 
Analysator zur Verfugung gestellt werden kann, dann ist der Einsatz von InfSM und LARGE 
vollkommen uberflussig. In Bezug auf den Zeitaufwand der Analyse selbst kann ein Hybrid- 
verfahren natiirlich niemals eine Verbesserung gegentiber einem der Einzelverfahren bedeu- 
ten. 

Hybridverfahren sind also prinzipiell sinnvoll, aber nicht im Zusammenhang mit den beiden 
hier untersuchten Ansatzen, die im Raum der moglichen Verfahren diagonal gegeniiberliegen- 
de Extrempunkte in den Dimensionen Anpassungsaufwand und Ergebnisqualitat einnehmen. 

5.2.2 Expertensystem als Interpretationsschicht 

Eine mogliche Abhilfe fur die Liicke zwischen der gegebenen Diagnose eines Analysators 
und geeigneten MaBnahmen zur Problembeseitigung, also eine Weiterentwicklung im Hin- 
blick auf den den obigen Ansatzpunkt 1 , ware die Verwendung eines Expertensystems als 
zusatzliche Interpretationsschicht. 
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Dies bedeutet, daB eines der Analyseverfahren weitgehend unverandert eingesetzt werden 
konnte, uni Merkmale der beobachteten Kommunikation hinsichtlich ihrer Protokollkonfor- 
mitat zu gewinnen. Diese Merkmale sind die Diagnosen der bekannten Verfahren. Die zusatz- 
liche Schicht in Form eines Expertensystems wurde als Vermittler zwischen dem Analysever- 
fahren und einem Benutzer auftreten, der kein Protokollexperte ist. Diese Schicht konnte in 
der Gesamtheit der Korrektheits- und Unkorrektheitsmerkmale ein typisches Fehlerbild iso- 
lieren und z. B. vorbereitete Hinweise geben, wie sich dieses beseitigen laBt. 

Obwohl dieser Ansatz sehr vielversprechend ist, stellt er jedoch hohe Anforderungen an seine 
Realisierung: 

• Man benotigt eine groBe Falldatenbasis, um die Regeln fur das Expertensystem aufzu- 
stellen. Diese Datenbasis muB nicht nur ein vollstandiges Bild der Fehlerdiagnosen ei- 
nes Analyseverfahrens fur sehr viele verschiedene Fehlersituationen enthalten, sondern 
zu jeder dieser Fehlersituationen auch noch eine prazise Beschreibung des Fehlerbildes 
und moglicher GegenmaBnahrnen. 

• Die im vorangegangenen Punkt beschriebene Falldatenbasis ist im allgemeinen nur fur 
eine ganz bestimmte Konfiguration eines Kommunikationssystems giiltig. Besonders 
die GegenmaBnahrnen miissen direkt Bezug nehmen auf die konkrete Systeminstallati- 
on. Ein Beispiel, diesen Sachverhalt zu verdeutlichen, ist eine empfohlene GegenmaB- 
nahme wie: „Gehen Sie in Raum 4711 und stecken Sie den dritten Stecker von links 
unter dem Fenster wieder in die kleine runde AnschluBdose 

• Die Zuordnung von GegenmaBnahrnen zu Fehlerbildern ist grundsatzlich mit ahnlichen 
Schwierigkeiten behaftet wie das Lemen eines Protokolls beim Lernansatz: Die Auf- 
gabe des Expertensystems kann ebenfalls als generalisierendes Lernproblem aufgefaBt 
werden. Daher laBt sich niemals garantieren, daB die vorgeschlagenen GegenmaBnah- 
rnen korrekt und angemessen sind. 

5.2.3 Spuranalyse auf direkter Grundlage von SDL 

Der Ansatzpunkt 2 5 die Notwendigkeit manueller Hilfe bei der Protokollanpassung, laBt sich 
am ehesten angehen, indem das interne Protokollmodell des Analysators — eine OTEFSM- 
Spezifikation bei FollowSM— direkt auf den Automaten gemaB der SDL-Semantik umgestellt 
wird. Dadurch werden Unstimmigkeiten bei der Modellierungsmachtigkeit und Schwierigkei- 
ten bei der Konvertierung mit einem Schlag vermieden. 

Allerdings hat die in Abschnitt 3.1.2 nachgewiesene Berechenbarkeitsproblematik nichts 
mit dem FollowSM- Verfahren zu tun. Sie wurde auch fur den Versuch gelten, eine SDL- 
Spezifikation anhand einer Beobachtung auszufuhren. AuBerdem gabe es in einer SDL- 
Spezifikation standig Transitionen, die ausfuhrbar, aber nicht beobachtbar sind, weil sie von 
Ereignissen an der Dienstschnittstelle oder rein intemen Signalen ausgelost werden. 

Eine mogliche Losung, die diese unbeobachtbaren Ereignisse berucksichtigt, ohne eine un- 
endliche Suche zu provozieren, besteht darin, alle von unbeobachtbaren Transitionen poten- 
tiell betroffenen Zustandsvariablen oder Komponenten von solchen standig als „unsichei* 4 zu 
kennzeichnen. Gleiches mixBte ftir Zustandsvariablen gelten, die Gegenstand komplizierter 
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Verzweigungsbedingungen werden. Damit erhebt sich aber sofort das Problem, daB die Zu- 
standsbeschreibung moglicherweise nie zu sicheren Variablenwerten konvergiert; und wenn 
sie einmal konvergiert, laBt sich nicht — wie in Theorem 4 fur FollowSM— gewahrleisten, daB 
sie sicher bleibt. 

Obwohl diese Uberlegungen nicht darauf hindeuten, daB das Mitverfolgen einer SDL- 
Spezifikation fur jede Spezifikation moglich bzw. niitzlich ist, erscheint diese Weiterentwick- 
lung aus Sicht des Autors als die interessanteste. Es besteht die Hoffhung, daB zahlreiche 
SDL-Spezifikationen „gutmiitig genug" sind, urn von dem hier skizzierten Ansatz profitieren 
zu konnen. Schlimmstenfalls verspricht er wenigstens eine weitere Reduktion des manuellen 
Anpassungsaufwands, fur die man aber gegenuber FollowSM Abstriche bei der Ergebnisqua- 
litat riskiert. 
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Kapitel 6 

Zusammenfassung 



In dieser Arbeit wurden zwei neue Verfahren der Spuranalyse entwickelt, mit deren Hilfe 
sich die Abwicklung eines Kommunikationsprotokolls durch passive Beobachtung der ausge- 
tausehten Nachrichten automatisch auf VerstoBe gegen die Protokollspezifikation analysieren 
laBt. Beobachtet wird nur der Nachrichtenaustausch iiber das Kommunikationsmedium, nicht 
die Ereignisse an den Dienstschnittstellen der beobachteten Instanz. Es wurde gezeigt, daB 
hier ein theoretisch nicht berechenbares Problem vorliegt. Die beiden entwickelten Verfah- 
ren unterscheiden sich wesentlich in der Art, wie die Protokollspezifikation als Referenz der 
Spuranalyse gewonnen wird: Das FollowSM- Verfahren basiert auf einer an die Anforderungen 
der Spuranalyse angepaBten formalen Spezifikation, die entweder manuell entwickelt oder zu 
groBen Teilen aus einer Protokollspezifikation in der Standard-Spezifikationssprache SDL au- 
tomatisch abgeleitet wird. Das zweite Verfahren aus den Teilalgorithmen InfSM und LARGE 
dagegen setzt eine protokollkonforme Beispielkommunikation voraus, aus der die Protokoll- 
regeln in einem in zwei Phasen aufgeteilten Lernvorgang gewonnen werden. Aufgrund der 
vorliegenden Lernsituation kann diese Lernaufgabe nur heuristisch gelost werden. 

Das FollowSM- Verfahren schlieBt den Datenanteil eines Protokolls und spezifizierte Zeitbe- 
dingungen in die Analyse ein. Es kann jederzeit mitten in einer laufenden Kommunikation 
gestartet werden. Es wurde gezeigt, daB das FollowSM- Verfahren relativ zur Referenzspezifi- 
kation korrekt und nach einer Synchronisationsphase auch vollstandig ist Es bietet dem An- 
wender sehr hilfreiche Informationen iiber den beobachteten Kommunikationsablauf auf ver- 
schiedensten Abstraktionsebenen und kann fur einen Protokollexperten die Sucharbeit nach 
Fehlerquellen urn GroBenordnungen reduzieren. Der Zeitaufwand der Analyse ist linear in der 
Beobachtungsdauer, wodurch „Online"-Analysen in Echtzeit in vielen Fallen moglich sind. 

Das zweistufige Lernverfahren leitet mit dem neuen Algorithmus InfSM im ersten Schritt 
einen endlichen Automaten ab, der die Sprache der protokollkonformen Folgen von PDU- 
Typen definiert. Als wichtiges theoretisches Resultat dieser Arbeit konnte gezeigt und argu- 
mentiert werden, daB der InfSM- Algorithmus bei nur 0(n 2 ) Zeitaufwand in der Lange der 
Beispielsequenz alle optimalen endlichen Automaten liefert, die die Beispielsequenz akzep- 
tieren. Die gelernten Automaten enthalten zudem uberwiegend deterministische Transitionen. 

Der ebenfalls neue Lemalgorithmus LARGE dient dazu, Regeln fur die Datenfeldinhalte einer 
Anzahl aufeinanderfolgender PDUs zu lernen. LARGE lemt arithmetische Klassifikationsre- 
geln aus unklassifizierten ausschlieBlich positiven Beispielen, bildet dazu arithmetische Terme 
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aus den Attributen der Beispiele und findet selbst eine Klasseneinteilung. 

In der Anwendungsphase werden die von InfSM und LARGE gelernten Regeln wiederum 
zur Spuranalyse eines Kommunikationsablaufs eingesetzt. Durch den LemprozeB ist der Ar- 
beitsaufwand zur Erzeugung eines protokollspezifischen Analysators minimal. Die Qualitat 
des Analyseergebnisses bleibt jedoch — aufgrund des immer stichprobenartigen Lehrbeispiels 
unveimeidlich - klar hinter dem von FollowSM zuriick. Weder Vollstandigkeit noch Korrekt- 
heit der Fehlererkennung lassen sich garantieren, weshalb vom Anwender des Analysators 
Einblick in die Konsequenzen des Lernparadigmas zu fordern ist. Trotzdem gibt es Falle, in 
denen sich der Lernansatz sinnvoll praktisch einsetzen lafit. 

Es wurden schlieBlich mogliche Weiterentwicklungen der verfolgten Ansatze untersucht, urn 
auch ohne Expertenwissen zu fehlerbehebenden Maflnahmen zu gelangen und urn auf manuel- 
le Entwicklungsarbeit bei der Anpassung an ein Zielprotokoll ganzlich verzichten zu konnen. 
Den letzteren Punkt konnte ein Fo//owiSM-ahnliches System, das aber komplett auf SDL ba- 
siert, leisten. Trotz einiger Einschrankungen bildet dies die interessanteste Entwicklungsper- 
spektive zum behandelten Thema. 



Anhang A 
Figuren 
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Figur A.l : Baumdarstellung des LTS fur einen Getrankeautomaten. 
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Figur A.2: Beispiel fur eine Transition in SDL/GR. 
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Figur A.3: Beispiel fur eine Konfiguration zum Konformitatstest. 
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I ma ■ •~--' s!j - ■ : ^ n 1 



System A 
IUT 




System B 




Spuranalysator 
Figur A.4: Physische Einsatzkonfiguration des Spuranalysators. 
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4> 
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Figur A. 5: Logischer Kontext der Spuranalyse. 
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Beobachtung 



Ereignis 1 

Ereignis 2 
Ereignis 3 

Ereignis 4 
Ereignis 5 

Ereignis 6 

Ereignis 7 

Zulassigkeit 



a e n ben 



T" 

c g n 



Fehlerereignis fur b 

EL: Menge der zulassigen 
Ereignisfolgen 



Figur A.6: Bedeutung von Beobachtung und Fehlerereignis. c ist ein moglicher Anfang fur 
die neue Analyse nach dem Fehlerereignis. 



IUT Analysator IUT Analysator 



a — 
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; iAt 


P' — 
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J ¥ 





Figur A.7: Mehrdeutige Sequentialisierung der IUT-internen Aktioneri a und 0 bei moglicher 
Nachrichtenkreuzung. 
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Schicht-n-Protokoll 



|, Schicht n+1 | 
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Schicht n 



Schicht 1 



SAP 
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Schicht 1 



physikalische 
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Figur A.8: Logisches Szenario der Lernphase eines lernfahigen Spuranalysators. 
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Figur A.9: Logisches Szenario der Prufphase eines lernfahigen Spuranalysators. 
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b(..:) ! a(42.17) b(i8)fc^ af43,18) .;x(::.V bf...V / Spur 

i r* ^ I 

Fenster (w=3) 

Figur A. 1 1 : Phase 2, Lernen des oA;-Pradikats fur die Nachrichtenattribute. 



Spezifikation 

der IUT Beobachtung 



A 



Figur A. 12: Eirie beispielhafte Protokollspezifikation als LTS und eine Beobachtung, deren 
Korrektheit von der Interpretation von a als Ein- oder Ausgabe abhangt. 
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Figur A. 14: Eigenschaften der Arithmetik auf Ringintervallen am Beispiel Q = {10, ...,21}. 
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berechnete Entwicklungen 

eingesparte redundante Entwicklung 

Figur A. 15: Beispiel fur eine Pfadvereinigung im Zustandssuchbaum bei Z und Z'. 



Beobachtungsbeginn 



Eingaben — | (- 



i= 2 3 j 
o= 12 3 
Ausgaben 1—1 L 



4 



M 



Z' 


Z" / 


Z"* ■' 




r=Q 
i = 4 
o = 3 




j = 4 
o = 4 




»- = e 

i = 4 
o = 5 





Figur A. 16: Bildung der initialen Zustandsliste mit alien in Frage kommenden Ausgabe- 
Indizes. 



ABBILDUNGS VERZEICHNIS 



149 



CEFSM-Modell 



OTEFSMs in FoUowSM 





Schnittstelle der Beobachtung 



Figur A. 17: Mehrere Automaten im CEFSM-Modell (links) und im OTEFSM-Modell von 
FoUowSM (rechts). 



Analysator 



Dekoder 



r — 

, , r 

1 OTEFSM ■ 

"i ! 



Leser 



Spur-Daten 



Figur A. 18: DatenfluB zwischen den wichtigsten Teilsystemen in der FoUowSM- 
Implementierung (gestrichelt == protokollspezifisch, durchgezogen = protokollunabhangig). 
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Fehlerereignisse + 
Vorgeschichte 



Fehlerklassen 



61 



Fehlerzahl 



Protokoll-Parameter 



12 



Figur A. 19: Hierarchie der Fo//ow5M-Analyseberichte. 
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c) 3 1 
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b) 1---2 
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t 
u 



\ t 
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d) - - loschen 



u \ 



V 



• entwickelter Knoten 

o Blattknoten 

& "unsicherer" Knoten 



primare Kante 

sekundare Kante 



Figur A.20: Beispiel fur Operationen auf der P/a^-Datenstruktur zur Rekonstruktion einer 
erklarenden Zustandssequenz. 
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Time Transition PDU PDU State - Timer_CC VT(CC) 

in out 
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Figur A.21: Beispiel fur die Struktur des Analyseberichts Zustandsfolge in einer Synchroni- 
sationsphase. 

startende ausgeloste 
Transition 1 Transition 

t 0 t Y t' 0 1 1 
H 1 1 ■ 1 ► t 



^min 

i - 
. i 

^max 

Figur A.22: Rekonstruktion der minimalen und maximalen Zeitgeberlaufzeit. 
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Figur A.23: Bildschirmanzeige der Benutzeroberflache fur den Fo/ZowSM-Prototyp. 



ABBILDUNGSVERZEICHNIS 




Figur A.24: Klassenhierarchie und Informationsmodell. 
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TrModule 

TraceQ 



Module 



ModCache 

'"o.:.b' " "" 

..!,-.() 

insertpduQ 



Layer2931 



dispatchQ 



Decoder2931 

decodeQ 



PduCache 

putpduQ 



TrModule 



TraceQ 



Module 



ModCache 

„!v:0 

insertpduQ 



Layer?) 10 

dispatchQ 



Decoder2110 

decodeQ 



PduCache 



getpduQ 
putpduQ 



Reader2110 

readQ 



Schicht 3 



Schicht 2 



Schichten <2 



Figur A.25: Aufhifdiagramm der PDU-Verwaltung am Beispiel der UNI-Signalisierung im 
B-ISDN. 



// SendRs - ITU-T Q.2110-U 20/51 
Def n_Pre ( sendr s ) { 

SingleR (adproc, eq, send_RS) ; 

} 

Def n_JSTPre (sendrs) { 

SingleR (adproc, ne, send_RS) ; 

} 

Def n_Post (sendrs) { 
OUTPUT (RS) ; 

AndR ( vr__h , le , op . n_mr ) ; 
LastR (vt_sq, eq,op.n_sq) ; 

} 

Def n_Trans (sendrs) { 
OUTPUT (RS) ; 
vr_mr = op.n_mr; 
adproc=0; 

} 

Figur A.26: Beispiel fur den C++-Programmtext einer Transition. 
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Figur A.27: Relation der Modellierungsmachtigkeiten von SDL und dem OTEFSM-Modell. 



Von/zur 
Anwendung 



Von/zur 
Adaptionsschicht 



Co-ord-U 



/ Q.2931-U N 
(0..N) 



Reset-Start-U 



Reset- 
Response-U 



Figur A.28: SDL-ProzeBstruktur aus der Q.2931-Spezifikation [IT94b], Grau: Prozesse, die 
OTEFSM-Module des abgeleiteten Analysators ergeben. 
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Fignr A.29: Transformation von SDL-Transitionen mit mehreren Stimuli (A, B). 
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Zl ^ Q Zneu ^ 



R2 
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^ Zneu ^ 







B 



> QJ 



Figur A.30: Transformation von SDL-Transitionen mit mehreren Ausgaben (X, Y). 




Figur A.3 1 : Transformation von SDL-Transitionen mit Verzweigung. 
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GD 







y:= y+1 
x :=y 







CD CiD 



R3 



y+1 = 17 




y+1 =42 



y := y+1 
x :=y 




y := y+1 
x:=y 










B 




C 



Figur A.32: Beispiel fur die Anpassung der Vorbedingung. 

GD CGD GD GD 
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R4 



-> 
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Figur A.33: Transformation von SDL-Transitionen mit Spriingen. 

^ zi ^ C 21 3 C Zneu ^ C Zneu ^) 



R5 



vl 
L 




x = vl 



x = v2 



v2 



^ Zneu^ 



Figur A.34: Transformation von SDL-Transitionen mit Verzweigung nach einer Marke. 
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® 
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x := 42 
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h > 
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x:=42 






x :- x- 1 







x = 0) 



>0 



® 



^ Zneu ^ 



x>0 



x := x-1 



^ Zneu ^ 



Figur A.35: Beispiel fur die Ubersetzung einer Schleife mittels R4 und R5. 



K1297 
SSCOP ETS 



Splitting Box 



VPCI = 5 



SUN 
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VPCI = 5 



Switch 



FORE-Switch 

bzw. 
CELT-Stack 



Port VPCI 


Port VPCI 
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2 5 
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[ 



Figur A.36: Versuchsaufbau des „Online" -Tests. 




a(w)b(x,y): 
w=x=17,y=42 



Figur A.37: Der Automat A min9 der nur das Lehrbeispiel a(17), 6(17, 42), c(59) akzeptiert. 



a 




a(w)b(x,y): T 
c(z)a(w): T 
b(x,y)c(z): T 



Figur A.38: Der Automat A max , der alle moglichen PDU-Folgen zum Lehrbeispiel 
a(17),6(17,42),c(59) akzeptiert. 
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n 

3-- 
2-- 
1 - 



Intervall [dl;d2] 
E 3 



i i i I i i i i i 



10 



i 1 i 



q== min{5;6) _ 2 g 



\ linke Randliicke-6 



15' 



mm 
20' 



I I I i 
25 



rechte Randliicke-5 



grofite Innenliicke=2 

Figur A.39: Beispiel fur die Berechnung des Haufungsquotienten q. Die dargestellte Wahl von 
[d x \ rf 2 ] maximiert q, das Intervall [14; 16] wiirde nur q = 2 liefern! 



a) rej = [lO.Z^i 



= 17 b) rej = [lO-^-LZl J =13 



P 2 



. • • • • . 



1 



[ Pi ] V i 

• - Treffer Von c 



0 • • 



1 o 

o 



[ Pi ] v i 

o = Nichttreffer von c 



* Figur A.40: Berechnung der Komponente rej der Klausel-Qualitatsfiinktion. Die Zahlen geben 
die Anzahl der Nichttreffer*' pro Trainingsbeispiel an. 



ABBILD UNCS VERZEICHNIS 



161 



a) E als Ausgangmenge 



'j a 



o 

o o 



b) E' = E \ A als Ausgangsmenge 

V i 



o 
o 



Klasse A 



t i 




Figur A.41 : Beispiel fur die Auswirkung der Beispiel-Vorauswahl: B laBt sich erst nach Aus- 
blenden von A diskriminieren. 



ok (vl,v2,v3,v4) <== 

v4 * v3 - vl = 0 

-- 10 Beispiele Klasse 1 AND v4 - v2 + v3 = 0 

vl = v3 * v4 = 0..282 AND -4 <= v3 - v2 <= 0 

v2 = v3 + v4 = 37 . . 53 AND 0 <= v4 <= 4 

v3 = 3 7.. 4 7 AND 4 0 <= v2 <= 4 8 

v4 = 0..6 = v2 - v3 = v2 - 37.. 47 [ 10/1/294089] 

20 Beispiele Klasse 2 ok (vl , v2 , v3 , v4 ) <== - 

vl = 90.. 110 -3 <= v3 - v2 - vl <= 3 

v2 = -30..30 AND - 6 <= v4 - v2 <= 5 

v3 = vl + v2 + -3.. 3 = 6 0.. 14 0 AND -3 <= v3 - vl - v4 <= 3 

v4 = v3 - vl + -3.. 3 = v2 + -6.. 6 AND 92 <= vl <= 110 

AND . -30 <= v2 <= 27 
■ [ 20/2/198089] 

Figur A.42: LARGE auf Beispieldatensatz 1. Links die Regeln fiir die Datenerzeugung, rechts 
das Lernergebnis. 
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ok (vl, v2,v3,v4) <== 

v4 * v3 - vl = 0 
AND v3 + v4 v2 = 0 
AND 37 <= v3 <= 47 
AND -47 <= v4 - v2 <=' -37 

[ 100/1/252086] 

ok (vl, v2,v3,v4) <== 

-113 <= v2 - v3 <= -87 
AND -6 <= v4 - v2 <= 6 
AND -113 <= v4 - v3 <= -88 
AND -3 <= v3 - v2 - vl <= 3 
AND - 3 <= v4 - + vl - v3 <= . 3 

[ 200/1/174885] 



Figur A.43: Lemresultat von Datensatz 1 mit 300 Beispielen. 
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- - 25 Beispiele Klasse 1 
vl = 0 . .999 

v2 = 0. .999 
v3 = vl - v2 

25 Beispiele Klasse 2 
vl = 0 . .999 
v2 = vl + v3 
v3 = 0 . .999 

- - 25 Beispiele Klasse 3 
vl - v2 * v3 

v2 = 0 . .999 
v3 = 0. .999 

- - 25 Beispiele Klasse 4 
vl = 42 

v2 = 0. .999 
v3 = - v2 



Vl 


v 2 


*>3 


840 


1193 


353 


318 


1204 


886 


584 


159 


425 


691 


749 


58 


42 


163 


-163 


533 


604 


-71 


104910 


269 


390 


742 


1040 


298 


404 


857 


-453 


42 


662 


-662 


42 


2 


-2 


532 


1319 


787 









ok (vl,v2,v3) <== 
vl = 42 
AND v3 + v2 = 0 
AND v3 - vl + v2 = -42 
AND -35448 <= v3 * vl <= -84 

[ 25/1/296489] 

ok (vl,v2,v3) <== 

v2 * v3 - vl = 0 
AND 6528 <= vl <= 729708 
AND -728832 <= v3 - vl <= -6504 
AND -728875 <= v2 - vl <= -6256 

[ 25/1/128089] 

bk (vl,v2,v3) <== 

v2 - v3 - vl = 0 

AND 434 <= v3 + vl <= 1900 

AND 65 <= vl <= 982 

AND 2840 <= vl + 6 * v2 <= 12365 
[ 25/1/108886] 

ok (vl , v2 , v3 ) <== 

v3 + v2 - vl = 0 
AND 44 <= v3 + v2 <= 947 
AND 44 <= vl <= 947 
AND -393 <= v3 4- vl <= 1702 

[ 25/1/ 90089] 



Figur A.44: LARGE auf Beispieldatensatz 2. Links die Regeln fur die Datenerzeugung, rechts 
das Lernergebnis. 
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100 Beispiele KJasse.,1... 
vl = v3 * v4 = 0. .282 * 
v2 = v3 + v4 = 37 . .53 
v3 = 3V. .47 

v4 = 0 . . 6 = v2 - v3 = v2 - 37 . 



.47 



ok ( vl , v2 , v3 , v4 ) <== 

v3 * v4 - vl = 0 
AND v3 + v4 - v2 = 0 
AND 0 <= v4 <= 6 
AND -6 <= v3 - v2 <= 0 
AND 38 <= v2 <= 53 

[ 100/0/203089] 



Figur A.45: LARGE auf Beispieldatensatz 3. Regeln fur die Datenerzeugung und Lernergeb- 



ms. 



100 Beispiele Klasse 1 
vl = 100. .200 
v2 = 100 . .200 

-- 100 Beispiele Klasse 2 
vl = 300. .400 
v2 = 100. .200 



ok (vl,v2) <== 

300 <= v2 <= 400 
AND 101 <= vl <= 200 
AND 115 <= v2 - vl <= 286 

[ 100/2/101295] 



100 Beispiele Klasse 3 
vl = 100. .200 
v2 = 300. .400 

100 Beispiele Klasse 4 
vl = 300. .400 
v2 = .3 00 . .400 



v2 
400 - - 

300-- 

200-- 

100 ■ 



3) 
0) 



(3> 



0 



100 200 300 400 



vl 



Figur A.46: LARGE auf Beispieldatensatz 
und Lernergebnis. 



ok (vl,v2) <== 

300 <=. vl <= 399 
AND 300 <= v2 <= 399 
AND -92 <= v2 - vl <= 82 

[ 100/2/ 80095] 

ok (vl , v2 ) <== 

100 <= v2 <= 199 
AND 100 <= vl <= 199 
AND -94 <= v2 - vl <= 77 

[ 100/2/ 72095] 

ok (vl, v2) <== 

301 <= vl <= 399 
AND 101 <= v2 <= 199 

AND -283 <= v2 - vl <= -109 
E 100/2/ 41495] 



4. Regeln fur die Datenerzeugung, Attributraum 
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.ace h...b d g k.,.a c g k...a c f i...b d f i. 



♦ 

2 



♦ 

6 



10 



♦ f 

14 18 



2-10, 10-6, 6-18, 18-14,14-2 => R={2;6;10;14;18} 

Figur A.47: Beispiel fur die Erzeugung der zustandsbildenden Aquivalenzklassen von Se- 
quenzpositionen in InfSM. 




2 ~ 4^ 




Figur A.48: Beispiel fur den Einflufl der Ahnlichkeitsschwelle auf den von InfSM gebildeten 
Automaten. 
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d=8 - 

•i : pp(4,12) = 3 

aegkkmi fhegkkfmld 

ikkkkkkkkkkkiiikkk 

0 3 6 9 12 15 17 



d=8 ^ 

■ . pp-(5,13) = 4 

aegkkmi fhegkkfmld 

kkkkkkkkkkkkkkkkkk 

0 -3 6 9 12 15 17 

d=8 

■ =— i pp"(6,14) = 0 

aegkkmi fhegkkfmld 
A A A A A i A A A A A 1 A A i i i i 

0 3 6 9 12 15 17 
Figur A.49: Berechnung der gemeinsamen Prafixlangen in InfSM mit quadratischen Aufwand. 



Ausgangszustand M furN=3 
Klassen: {1,2,4,6,8,9} 



Kanten fur N=2 



Kanten gemaB M auf 
Reprasentanten umgehangt 

Aquivalenzklassen der 
(N=2)-Relation (M 2 ) 

Resultat der Komposition 
M 2 oM, Klassen: {1,9} 

Figur A.50: Berechnung der nachstgroberen Zerlegung in InfSM mit alien Teilschritten. Fur 
schwarze Knoten gilt M{i) = i (Reprasentantenknoten einer Klasse), sonst ist M{i) im Kno- 
ten vermerkt. 
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Algorithmus Lerne(p, w) 

p = PiP2...Pn : n(o* . 

w : N FenstergroBe 

lnfSM(a 1 a 2 . - . a n ) — ► S A , 8 A , M- 
Fur s e S 

Fur 0 € T, w mit /? = 0^+1 . . . a* in p A M(i) — s 
E {(x\^ . . . , Xi , . . . , x^j . . . , Xw w '^) 

I Oi-v+^zl . . . ,a;? (fll) ), . . . , Oiixl, . . . ,xl M ) in p A M(z) - 5} 
LARGE (E) -+ ok(ui", . . . , . ■ 
w>i(s) ^(5) V ok(ui, . . . , v z ) 

Ausgabe: A mit S a ,8 a ,uj a 

Ende von Lerne 

Figur A.5 1 : Skizze des aus InfSM und LARGE kombinierten Protokoll-Lemalgorithmus. 
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Algorithmic lnfSM*{a,N) 
a = d\ . . . a n : S* 

N : N 



: 0. . .n — > 0. . .n 



Eingabesequenz 
FenstergroBe 

-- globale Zuordnungsfunktion 



G <- id 0 ...n 

p ■<- 1 

Wiederhole 

a' <— Op . . . a p+ ^_i 

M Zuordnungsfunktion p . . .p + N 
Fur iGp...p + iV-l 
fci <- M(i) 

Solange G(fci) ^ fci : fc x <- G(fci) 
k 2 <— i 

Solange G(fc 2 ) / &2 :■ &2 <- G(k 2 ) 
G(max{/ci; fc 2 }) «— min{fci; k 2 } 
p<-p + N/2 
Bis o; verarbeitet 
Fur % € 0...n 
G(z)<-G(G(0) 



— Fenster in der PDU-Sequenz 
.l_^p...p + jV — 1 gemaB lnfSM(a f ) 



-- Zustand fur M(z) suchen 

-- Zustand fur z suchen 

zusammenfassen 
— Fenster verschieben 



alle Verweise auf Reprasentanten 



Ausgabe: Globale Zustands-Zuordnungsfunktion G 
Ende von InfSM* 

Figur A.52: Algorithmus InfSM* zur inkrementellen Anwendung von InfSM auf lange PDU- 
Sequenzen. 
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a) 
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4- 



b) 
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G 
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• 










/ 

ki = k 2 kj k 2 



c) 

M 
G 



i 



k 2 



d) 

M 
G 



-k 



1 



Figur A.53: Falle, die bei der Zusammenfassung der Teilintervalle in InfSM* auftreten. Graue 
Pfeile stehen fur die jeweiligen Neueintrage. 
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Options ;r Trace:. 




;T4- ? -Vtate;F'>22J::^" ? : 9; ; occurrent^s ^^^^f^^p<^^^^^Z nodes:'' 28 edges:'. 43 




\ 



Figur A.54: Beispiel fur die Bildschirmanzeige des Prototyps des Protokoll-Lemprogramms. 
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LEDA. GRAPH 
unknown 
unknown 
11 

| {BGAK__i > 
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Figur A.55: Auszug aus der Representation eines gelernten Protokollautomaten als LEDA- 
Graph. 





Beobachtung: 
abababababab 



Figur A.56: Beispielsituation dafiir, daB die Zustandsidentifikation selbst bei einem determi- 
nistischen endlichen Automaten unbeschrankt lange dauern kann. 



172 



ABBILDUNGSVERZEICHNIS 




Figur A.57: Von InfSM abgeleiteter endlicher Automat der PDU-Typen mit 27 Zustanden 
fiir die Schwelle N = 5. Erzeugt aus einer Trainingsmenge von 1953 PDUs des SSCOP- 
Protokolls. Die Suffixe J kennzeichnen Eingabe-, die _o Ausgabe-PDUs. 




Figur A.58: Endlicher Automat aus derselben Trainingsmenge mit 21 Zustanden fur die 
Schwelle N = 4. 
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Figur A.59: Endlicher Automat aus derselben Trainingsmenge mit 10 Zustanden fur die 
Schwellen 2 < N < 3. 
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Figur A.60: Abnahme der AutomatengroBe |5| = | range(MAr)| in Abhangigkeit vom Schwel- 
lenwert N. 
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Figur A.61: Beispiel einer gelernten Attributregel fiir SSCOP. 
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Eingabe: 

m: 



l idle 



sT^"mf3i-[^-T4TTn3i"m"f2i"fTi"[4r? 



Ausgabe: 



3 3 



Figur A.62: Vorverarbeitung eines TCP-Mitschnitts mit mehreren gleichzeitigen Verbindun- 
gen 211 einem geeigneten Lehrbeispiel mittels tap split. Die Ziffern kennzeichnen unterschied- 
liche Verbindungen. t - 




Figur A.63: Endlicher Automat fur TCP nach Beispiel B mit 8 Zustanden. 
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Figur A.65: Endlicher Automat fur TCP nach Beispiel A mit 12 Zustanden. 
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Schwellenwert N 

Figur A.66: Abnahme der AutomatengroBe |5| in Abhangigkeit vom Schwellenwert N fur 
die TCP-Beispiele A und B. Jeder Graph entspricht einem InfSM-Laaf. 
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ACK_i FINA_i ACK_o [2] : 15 attributes, 40 examples 
pk (vl,v2,v3 vl3,vl4,vl5) <== [ 40/0/831694] 
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Figur A.67: Beispiel einer gelernten Attributregel fur TCP. 
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Anhang B 
Abkurzungen 



Hier werden die wichtigen Abkurzungen aus dieser Arbeit aufgelistet, erklart und auf die 
jeweilige Stelle der Einfuhrung im Text verwiesen. 



Abkiirzung Bedeutung 



Seite 



ATM Asynchronous transfer mode, zellenbasierte Vermittlungs- 6 

technik fur Breitbandnetze. 
ASN. 1 Abstract syntax notation one, Beschreibungssprache fur ab- 1 0 

strakte Syntax und Transfersyntax von Daten. 
B-ISDN Breitband-ISDN. 58 
CCITT Comite Consultatif International Telegraphiqe et 5 

Telephonique, fruhere Bezeichnung fur den internationalen 

Dachverband der nationalen Netzbetreiber-Gesellschaften. 
CCS Calculus of communicating systems, ProzeBalgebra-Kalkul 7 

von Robin Milner. 

CEFSM Communicating extended finite state machine, kommunizie- 5 8 

render erweiterter endlicher Automat. 
CWA Closed world assumption, Annahme, dafi alle nicht in der 17 

Wissensbasis auftretenden Aussagen unerfullt sind, bei Pro- 

blemen des maschinellen Lernens. 
DEA Deterministischer endlicher Automat. Ill 

EFSM Extended finite state machine, erweiterter endlicher Auto- 8 

mat. 

ETS Executable testsuite, Satz von direkt ausfuhrbaren Testse- 75 

quenzen im Konformitatstest. 
FollowSM Follow a state machine, neuer Spuranalyse-Algorithmus 29 

mit vorgegebenem Protokollwissen. 
FSM Finite state machine, endlicher Automat. 8 

GMD Gesellschaft fur Mathematik und Datenverarbeitung, deut- 75 

sche Informatik-Forschungseinrichtung. 
ILP Inductive logic programming, induktive logische Program- 16 

mierung, Paradigma zum Erlernen logischer Programme 

aus Beispielen. 
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Abkurzung Bedeutung 



Seite 



InfSM * Infer a finite state machine, neuer Algorithmic zum Ablei- 
ten einer Familie endlicher Automaten aus einem Beispiel- 
. . wort. 

IP Interaction point, Schnittstelle einer getesteten Instanz zur 

Umgebung, d. h..zur nachsthoheren oder -niedrigeren Pro- 
tokollschicht oder physikalische Verbindung zur Partnerin- 
stanz. 

ISDN Integrated services digital network, ofFentliche Kommu- 

nikationsinfrastruktur fur vielfaltige Dienste mit digitaler 
Ubertragungstechnik. 

ISO International Organization for Standardization, Dachver- 

band der nationalen Normungsinstitute. 

ITU International Telecommunication Union, internationaler 

Dachverband der nationalen Netzbetreiber-Gesellschaften. 

IUT Implementation under test, zu testende Implementierung 

beim Konformitatstest oder bei der Spuranalyse. 

LARGE Learning arithmetical rules from good examples, neuer Al- 
gorithmus zum Lernen arithmetischer Klassifikatiorisregeln 
aus positiven Beispielen. 

LEDA Library of efficient data types and algorithms, C++- 

Bibliothek mit zahlreichen Standard-Datentypen. 

LOTOS Language for the temporal ordering specification of obser- 

vational behaviour, standardisierte prozeBalgebra-basierte 
Spezifikationssprache. 

LTS Labelled transition system, Kalkul zur semantischen Fun- 

dierung von ProzeBalgebren. 

MDL Minimum description length, Paradigma des machinellen 

Lernens, bei dem die Lange der Hypothese, ausgedriickt in 
der gewahlten Hypothesensprache, minimiert werden soil. 

NEA Nichtdeterministischer endlicher Automat. 

OSI Open systems interconnection, Referenzmodell der ISO fur 

offene Kommunikationssysteme. 

OTEFSM Observable timed extended finite state machine, forma- 
tes Kalkul zur Spuranalyse und formate Grundlage von 
FollowSM. 

PICS Protocol implementation and conformance statement, stan- 

dardisiertes Dokument, das die implementierungsspezifi- 
schen Eigenschaften einer Protokollimplementierung be- 
schreibt. 

PDU Protocol data unit, atomare Dateneinheit bei der protokoll- 

basierten Kommunikation. 
SAP Service access point, Dienstzugangspunkt, Schnittstelle fur 

den Zugriff eines Benutzers auf eine Protokollinstanz. 
SDL Specification and description language, standardisierte au- 

tomatenbasierte Spezifikationssprache. 
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11 



11 
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111 
6 

33 



21 



10 



10 



Abkurzung 


Bedeutung 


Seite 


SDL/GR 


SDL graphical representation, Diagrammdarstellung von 
SDL-Spezifikationen. 


9 


SDL/PR 


SDL printed representation, Textdarstellung von SDL- 
Spezifikationen. 


9 


SSCOP 


Service specific connection-oriented procedure, Schicht-2- 
Protokoll der UNI-Signalisierung im Breitband-ISDN. 


11 


TCP 


Transmission control protocol, Transportprotokoll des In- 
ternet. 


117 


TTCN 


Tree and tabular combined notation, standardisierte Be- 
schreibungssprache fur Konformitatstests. 


11 


UNI 


User-network interface, Teilnehmer-Netz-Schhittstelle des 
Breitband-ISDN. 


69 


UT 


Upper tester, Testkomponente, die die Dienstschnittstelle 
der IUT bedient und iiberwacht. 


12 


VPCI 


Virtual path connection identifier, Bezeichner einer virtuel- 
len Pfadverbindung im ATM-Netz. 
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